Technologie en recht
1836
Kroniek technologie en recht Remy Chavannes en Niels van der Laan1
Tijdens de verslagperiode brachten de onthullingen van Edward Snowden over de digitale spionageprogramma’s van de Amerikaanse en Britse veiligheidsdiensten een maatschappelijk debat teweeg over de verhouding tussen veiligheid en (digitale) grondrechten. De kritische aandacht voor de al dan niet vrijwillige medewerking van grote Amerikaanse technologiebedrijven aan surveillance en hun eigen omgang met persoonsgegevens,2 was onderdeel van een bredere tegenreactie onder de noemer ‘de Oude Wereld laat zich niet langer koloniseren door Silicon Valley’. Nederlandse internetaanbieders werden massaal bevolen de toegang tot de file sharing website The Pirate Bay te blokkeren, maar toen dat geen effect bleek te hebben op inbreukmakende bestandsuitwisseling werd de blokkade weer opgeheven. Het auteursrecht spoelde ondertussen nog iets verder weg door het elektronisch vergiet.3
1. Inleiding De grootste ontwikkeling van de afgelopen twee jaar is echter misschien wel de toegenomen invloed op de rechtsontwikkeling van het Hof van Justitie. Het Hof benadert juridische problemen in het technologie- en informatierecht al langer als botsingen van conflicterende grondrechten, waaronder met name vrijheid van meningsuiting, privacy, intellectuele eigendom en vrijheid van onderneming. Waar het Hof zich in het verleden vaak beperkte tot de opdracht dat nationale wetgevers en rechters een juist evenwicht moesten verzekeren,4 is het in toenemende mate geneigd om zelf knopen door te hakken. Alleen al in de eerste helft van 2014 heeft het Hof privé-downloaden uit illegale bron verboden,5 hyperlinken toegestaan,6 de Richtlijn bewaarplicht telecommunicatiegegevens vernietigd7 en in de bestaande Privacyrichtlijn uit 1995 een recht om door zoekmachines ‘vergeten te worden’ gelezen waarvan de mogelijke invoering in een toekomstige Priva-
cyverordening nog voorwerp was van verhit debat.8 In onze vorige kroniek hebben wij ‘technologie en recht’ omschreven als een tijdelijke wachtkamer voor ontwikkelingen die nog niet door hun eigen rechtsgebied zijn opgehaald,9 en ook de in deze kroniek beschreven ontwikkelingen laten zich weer voor een groot deel kwalificeren als in wezen commune kwesties met toevallig technische casuïstiek. Wij blijven dus sceptisch over de waarde van ‘technologie en recht’ als ordenend thema. In het NJB en andere bladen verschenen tijdens de kroniekperiode regelmatig artikelen over de juridische status van een bepaalde nieuwe dienst, product of ontwikkeling, zoals de auteursrechtelijke aspecten van online massacursussen,10 de privacyrechtelijke aspecten van drones,11 strafrechtelijke aansprakelijkheid voor handelen onder invloed van een gehackt hersenimplantaat12 en een NJB-themanummer over neurolaw,13 zonder dat daarmee een beeld ontstaat van een samenhangend, objectief af te bakenen rechtsge-
Auteurs
com/1qDAQqu.
5. HvJ EU 10 april 2014, C-435/12, (ACI
als in de film: Massive Open Online Courses
1. Mr. R.D. Chavannes en mr. N. van der
3. E.J. Dommering, ‘Het auteursrecht spoelt
Adam vs. Thuiskopie).
(MOOCs) en auteursrecht’, NJB 2013/2449,
Laan zijn advocaat te Amsterdam bij respec-
weg door het elektronisch vergiet’, Compu-
6. HvJ EU 13 februari 2014, C-466/12, AMI
afl. 42, p. 2912-2919.
tievelijk Brinkhof en De Roos & Pen. De
terrecht 1994, p. 109-113.
2014/7, p. 85 m.nt. K.J. Koelman, (Svensson
11. B.W. Schermer & M. van der Heide, ‘Pri-
auteurs danken Tineke van de Bunt (Brink-
4. Zie bijv. HvJ EU 29 januari 2008,
vs. Retriever).
vacyrechtelijke aspecten van drones’,
hof), Marilyn Fikenscher (De Roos & Pen),
C-275/06, NJ 2009/551, m.nt. PBH, (Pro-
7. HvJ EU 8 april 2014, C-293/12, (Digital
NJB 2013/1605, afl. 27, p. 1773-1779.
Brendan Newitt (De Roos & Pen) en Axel
musicae). Zie voor een recente Nederlandse
Rights Ireland).
12. J. Slobbe, B. Wallage & S. Verberkt, ‘Cul-
Arnbak (Instituut voor Informatierecht) voor
toepassing van horizontale afweging van
8. HvJ EU 13 mei 2014, C-131/12, Compu-
pa in causa in technica: een verkenning van
hun bijdragen respectievelijk suggesties.
informatiegrondrechten: Rb. Amsterdam
terrecht 2014/115 m.nt. P. Van Eecke & A.
de schuldvraag in het strafrecht bij een
(vzr.) 10 april 2013, Mediaforum 2013/20,
Cornette (Google Spanje vs. Costeja).
gehackt hersenimplantaat’, Computerrecht
Noten
afl.7/8, m.nt. R.D. Chavannes, (Four One
9. Zie nader onze vorige kroniek NJB
2014/114.
2. Zie bijv. ‘Big Tech at Bay’, Financial Times
Media vs. Staat: toestemming Staat vereist
2012/2022, afl. 35, p. 2512.
13. NJB-themanummer ‘Neurolaw in Neder-
14 september 2014, http://on.ft.
voor gebruik politiestrepen in TV-serie?).
10. D.J.G. Visser & C.J.S. Vrendenbarg, ‘Net
land’, NJB 2013/2611-2618, afl. 45,
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2525
Technologie en recht
bied. Technologische ontwikkelingen raken alle onderdelen van maatschappij en recht, van televisie14 tot toezicht,15 maar niet op een dermate eenvormige snelheid of wijze dat een horizontale benadering voor de hand ligt. Zelfs een beperkter deelgebied zoals ‘internetrecht’ omvat vooral ontwikkelingen die ook aan de orde komen in de traditionele kronieken van onder meer het vermogensrecht, strafrecht, procesrecht, bestuursrecht, intellectuele eigendom en grondrechten. De ‘internetjurist’ zou dus van al die markten thuis moeten zijn; aangezien geen jurist dat kan zijn, heeft ieder zijn eigen internetrecht. Het is niet evident dat de rechtsvraag of bitcoin moet worden aangemerkt als geld of als ruilmiddel,16 behoort tot hetzelfde rechtsgebied als de auteursrechtelijke kwalificatie van een embedded hyperlink.17 Het diffuse en onzelfstandige karakter van het internetrecht blijkt, om dezelfde redenen, uit de uiteenlopende afbakening die in verschillende kronieken wordt gehanteerd: waar sommigen de nadruk leggen op ontwikkelingen op het gebied van IT-, contracten- en consumentenrecht, concentreren anderen zich op ontwikkelingen op het gebied van auteurs-, media- en privacyrecht.18
Juist waar de casuïstiek door technologische innovatie razendsnel verandert, moeten rechtsbeoefenaren steeds terug naar de basis van hun vakgebied Omgekeerd roepen belangrijke technologische ontwikkelingen doorgaans (rechts)vragen op die zich niks aantrekken van bestaande grenzen tussen rechtsgebieden, zodat een multidisciplinaire analyse vereist is. En wat er ook zij van het bestaansrecht, het nut of de reikwijdte van technologierecht, internetrecht e.d. als zelfstandig vakgebied, ‘nieuwe technologie’ is op zich een instructieve lens voor de beschouwing van ontwikkelingen in de verschillende rechtsgebieden. Juist waar de casuïstiek door technologische innovatie razendsnel verandert, moeten rechtsbeoefenaren steeds terug naar de basis van hun vakgebied. Iedere nieuwe digitale distributietechniek roept opnieuw de vraag op: waar is het auteursrecht voor bedoeld? Iedere nieuwe opsporingstechniek roept opnieuw de vraag op: hoe verhoudt de vrijheid van het individu zich tot de veiligheid van het collectief? Terugkerende vragen over de medewerkings- en informatieplichten van internetaanbieders roepen de klassieke civielrechtelijke vraag op: in hoeverre is men rechtens verplicht behulpzaam te zijn? Het is geen toeval dat het Hof van Justitie steeds de belangenafweging vooropstelt. En juist waar conflicterende belangen moeten worden afgewogen, komt het veelal aan op proportionaliteit en waarborgen; in alle gevallen valt een verstandige en duurzame beslissing daarom alleen te nemen met verstand van de werking en consequenties van de desbetreffende techniek.
2526
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
Om overlap met andere kronieken enigszins te beperken hebben wij in deze kroniek de nadruk gelegd op technische ontwikkelingen die wezenlijke rechtsvragen oproepen en juridische ontwikkelingen die een interessant licht werpen op de receptie van technologische innovatie in het gewone recht. Dat betekent relatief veel aandacht voor rechtsgebieden waarin de huidige rechtsontwikkeling grotendeels wordt bepaald door technologische ontwikkelingen, zoals auteursrecht en privacyrecht, en nagenoeg geen aandacht voor rechtsgebieden die naar hun aard bestaan uit de regulering van techniek, zoals octrooirecht en telecommunicatierecht. Ook overigens hebben wij noodgedwongen vele onderwerpen onbesproken gelaten die onder enige definitie van ‘technologie en recht’ behandeld hadden kunnen worden.
2. Auteursrecht Hoe om te gaan met nieuwe reproductie- en distributietechnieken is een terugkerend thema in de geschiedenis van het auteursrecht.19 Op het jubileumcongres van het Instituut voor Informatierecht (IvIR) in juli 2014 analyseerde Google-auteursrechtjurist Fred von Lohmann de discrepantie in auteursrechtelijke behandeling van bepaalde functionaliteiten (zoals dataopslag of tv-opname), al naar gelang die wordt geleverd als fysiek product (harde schijf, videorecorder) of als clouddienst (online opslagdienst, netwerk-PVR).20 De volgende dag citeerde prof. James Boyle (Duke Law) uit verhitte toespraken over de auteursrechtelijk status van een nieuwe reproductietechniek.21 Ze bleken te komen uit debatten over de fonogram uit 1906, maar zowel de toon als de inhoud hadden naadloos gepast in hedendaagse debatten over het ‘downloadverbod’ of de auteursrechtelijke status van clouddiensten. Volgens Boyle was het huidige internet er niet geweest als de VS en de EU in de jaren negentig niet op het laatste moment hadden afgezien van het plan om internettussenpersonen rechtstreeks aansprakelijk te houden voor alle openbaarmakingen en verveelvoudigingen via hun netwerken. Min of meer toevallig zijn zij toen uitgekomen op de nu nog vigerende aanpak, zoals verankerd in de Richtlijn Elektronische handel, waarbij neutrale tussenpersonen worden gevrijwaard van aansprakelijkheid en technische beschermingsmaatregelen een extra juridische bescherming krijgen. Volgens Boyle laat de huidige strijd over auteursrecht en auteursrechthandhaving op internet zich begrijpen als een poging van de rechthebbenden om een nieuw evenwicht te forceren. Het Europese auteursrechtbeleid is er al geruime tijd op gericht om zowel ‘digitale creatie’ als ‘de digitale economie’ te stimuleren, maar ondertussen brokkelt het gezag van het auteursrecht verder af, zeker onder jongere internetgebruikers die het auteursrecht steeds meer zien als een archaïsche hindernis. Eurocommissaris Kroes heeft in verschillende speeches, waaronder tijdens hetzelfde IvIR-congres,22 gewezen op de dreigende irrelevantie van het auteursrecht, maar heeft geringe concrete vooruitgang kunnen boeken. De ruim 9500 reacties op een Commissieconsultatie over de Europese auteursrechtwetgeving bieden ook weinig uitzicht op spontane consensus tussen makers, gebruikers en tussenpersonen.23 De nieuwe Commissievoorzitter Jean-Claude Juncker heeft zijn vicevoorzitter voor de Digitale Interne Markt, Andrus Ansip, in zijn mission letter de ambitieuze en in potentie revolutionaire opdracht mee-
gegeven om nationale silo’s in telecomregulering, auteursrecht- en privacywetgeving te doorbreken. Tegelijkertijd blijkt de gevoeligheid en tweeslachtigheid van Ansips taak uit zijn opdracht op auteursrechtgebied: ‘modernising copyright rules in the light of the ongoing digital revolution – taking full account of Europe’s rich cultural diversity.’24 2.1 Reikwijdte van het digitale openbaarmakingsrecht Een van de vragen in de Commissie-consultatie betrof de auteursrechtelijke status van hyperlinken en ook op dit punt antwoordden de verschillende categorieën van respondenten in overeenstemming met hun eigen belang: individuele en institutionele gebruikers en tussenpersonen vinden dat hyperlinken (vrijwel) altijd moet kunnen, individuele en collectieve rechtenhouders menen dat het (in elk geval in sommige gevallen) onder hun verbodsrecht valt. De Nederlandse rechtspraak worstelde ondertussen met de relevantie en toepassing van de criteria ‘interventie’, ‘nieuw publiek’ en ‘winstoogmerk’, die het Hof van Justitie had geïntroduceerd in een reeks arresten over het concept ‘mededeling aan het publiek’. De Haagse voorzieningenrechter oordeelde eind 2012 dat een webportal met embedded links naar de audiostreams van alle Nederlandse radiozenders een inbreukmakende openbaarmaking opleverde.25 Dat de browser van de gebruiker na het aanklikken van een link de desbetreffende radiostreams zelf ophaalde bij de mediaservers van de omroepen maakte volgens de rechtbank niet uit, omdat de website Nederland.FM zo was ingericht dat de radiostreams vervolgens werden beluisterd ‘in het kader van’ die website en dus door die website aan het publiek werden ‘gepresenteerd’. In 2013 oordeelde het Hof Amsterdam in twee verschillende zaken dat het aanbrengen van een hyperlink naar inbreukmakend materiaal elders op het internet (uitwerkingen van wiskundeopgaven respectievelijk een voortijdig uitgelekte Playboy-reportage van Britt Dekker) géén
auteursrechtinbreuk opleverde, maar wel een onrechtmatige daad.26 In beide gevallen legt het Hof aan zijn beslissing ten grondslag dat de gedaagde (een wiskundeleraar respectievelijk GeenStijl) het materiaal niet zelf op internet heeft gezet en evenmin door bijzondere technische faciliteiten mogelijk heeft gemaakt dat derden ervan kennis nemen (geen openbaarmaking); maar wel onzorgvuldig handelt door internetgebruikers in vergaande mate behulpzaam te zijn (in de Playboy-zaak: te faciliteren en enthousiasmeren) bij het raadplegen van het materiaal. Begin 2014 hakte het Hof van Justitie enkele knopen door, door in het Svensson-arrest te oordelen dat een hyperlink weliswaar een ‘mededeling aan het publiek’ was, maar niet onder het verbodsrecht van de rechthebbende viel omdat deze geen ‘nieuw publiek’ bereikt.27 De wijze van hyperlinken – ‘gewoon’, ‘embedded’, of anders – maakt niet uit. De stellige interpretatie van Visser in zijn IE-kroniek, dat uit het Svensson-arrest volgt dat hyperlinks naar materiaal dat niet met toestemming van de rechthebbenden is gepubliceerd dus inbreukmakend zouden zijn, berust ons inziens op een onjuiste lezing van het arrest. De hyperlink-controverse is maar één verschijningsvorm van een veel ruimere onduidelijkheid over de reikwijdte van het openbaarmakingsbegrip (in de terminologie van de Auteursrechtrichtlijn: ‘mededeling aan het publiek’), die Visser uitgebreid behandelt.
3. Internettussenpersonen 3.1 Aansprakelijkheid In het internettussenpersonenrecht gaat het veelal om de vragen a. wanneer een tussenpersoon aansprakelijk is voor eigen handelen, b. wanneer een tussenpersoon aansprakelijk is voor het handelen van zijn klanten, en c. wanneer een niet-aansprakelijke tussenpersoon verplicht is een derde behulpzaam te zijn.28 De logische voorvraag is
p. 3129-3161.
(http://blog.iusmentis.com/kroniek-internet-
watch?v=gFDA-G_VqHo.
treedt in deze zaak op voor GeenStijl.
14. www2.deloitte.com/nl/nl/pages/
recht-201213/); en het Jaaroverzicht Inter-
22. Neelie Kroes, ‘Our single market is crying
27. HvJ EU 13 februari 2014, C-466/12,
Over%20Deloitte/articles/technologie-ver-
netrecht 2013 van advocatenkantoor SOLV
out for copyright reform’, lezing op Informa-
AMI 2014/7, p. 85 m.nt. K.J. Koelman
andert-tv-sector-radicaal.html.
(www.solv.nl/weblog/jaaroverzicht-internet-
tion Influx congres op 2 juli 2014, http://
(Svensson vs. Retriever).
15. B. Leeuw, F.L. Leeuw & M. Morawski,
recht-2013/19733).
europa.eu/rapid/press-release_
28. Zie o.a. T. van der Linden, ‘Het is niet
‘Evidence-based toezicht en internet: goed
19. Voor een mooie verzameling historische
SPEECH-14-528_en.htm.
goed of het deugt niet: de juridische positie
gereedschap is het halve werk’, Tijdschrift
voorbeelden, zie: B. Sherman & L. Wiseman
23. Europese Commissie, DG Interne Markt,
van internet tussenpersonen is onbevredi-
voor Toezicht 2013/4, afl. 3, p. 67-75.
(red.), Copyright and the Challenge of the
‘Report on the responses to the Public Con-
gend!’, TvI 2014/1 p. 4-9; J.B. Nordemann,
16. Rb. Overijssel 14 mei 2014,
New, Alphen a/d Rijn: Kluwer 2012. De
sultation on the Review of the EU Copyright
‘Liability for Copyright Infringements: Host
ECLI:NL:RBOVE:2014:2667. Het antwoord is
meest recente ontwikkelingen worden
Rules’, juli 2014, http://ec.europa.eu/inter-
Providers (Content Providers) – The German
overigens dat bitcoin slechts een ruilmiddel
behandeld door D.J.G. Visser in zijn ‘Kroniek
nal_market/consultations/2013/copyright-
Approach’, 2011, JIPITEC 37; A. Tsoutsanis,
is. Dat maakte nogal wat uit, omdat de eiser
intellectuele eigendom’, NJB 2014/794, afl.
rules/docs/contributions/consultation-
‘Privacy and piracy in cyberspace: justice for
daardoor geen koerswijzigingsschade kon
15, p. 1008-1010.
report_en.pdf.
all’, Journal of Intellectual Property Law &
claimen. De zaak ging over de aankoop van
20. F. von Lohmann, ‘Copyright as innovati-
24. Mission Letter van Jean-Claude Juncker
Practice 2013, vol. 8, issue 12, p. 952-956.
2750 bitcoin, waarvan de ‘ruilwaarde’ tijdens
on policy’, lezing op Information Influx con-
aan Andrus Ansip d.d. 10 september 2014,
U. Kohl, ‘Google: the rise and rise of online
de duur van de procedure opliep van ruim
gres op 3 juli 2014, www.youtube.com/
http://ec.europa.eu/about/juncker-commis-
intermediaries in the governance of the
€ 22 000 tot (momenteel) bijna € 1 miljoen.
watch?v=p87w0vyMTWo, mede onder
sion/docs/ansip_en.pdf.
Internet and beyond (Part 2), International
17. Rb. Den Haag (vzr.) 19 december 2012,
verwijzing naar de recente Aereo-beslissing
25. Rb. Den Haag (vzr.) 19 december 2012,
Journal of Law and Information Technology,
IER 2013/38 (Buma Stemra vs. X, Neder-
van de US Supreme Court inzake Aereo van
IER 2013, 38 (Buma Stemra vs. X, Neder-
vol. 21, no. 2, 2013, p. 187-234; en
land.FM), waarover nader in par. 2.1.
25 juni 2014: 573 US, 2014, (American
land.FM).
‘Google: the rise and rise of online interme-
18. Zie bijv. H.A.J. de Jong & G.C.J. Erents,
Broadcasting Cos. vs. Aereo, Inc.).
26. Hof Amsterdam 15 januari 2013, IER
diaries in the governance of the Internet and
‘Online Overeenkomsten en meer’, TvI
21. J. Boyle, ‘Intellectual property: two pasts
2013, 39 (X vs. Noordhoff); Hof Amsterdam
beyond – Connectivity Intermediaries’, 2012,
2013-5/6, p. 141-152; de Kroniek Internet-
and a future’, lezing op Information Influx
19 november 2013, Computerrecht 2014/39
26 International Review of Law, Computers
recht 2012-2013 van Arnout Engelfiet
congres op 4 juli 2014, www.youtube.com/
m.nt A.R. Lodder. Co-auteur Chavannes
& Technology 185.
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2527
Technologie en recht
steeds of een bepaalde onderneming wel kwalificeert als tussenpersoon, of veeleer zelf informatieaanbieder is. Het EHRM wees een controversieel arrest over de aansprakelijkheid van een nieuwswebsite voor onder een bericht geplaatste lezersreacties.29 De website publiceerde een genuanceerd en zorgvuldig artikel over een veerdienstbedrijf en haar eigenaar L. Daaronder plaatsten vervolgens zo’n 200 veelal minder genuanceerde lezers reacties. Delfi verwijderde er zo’n twintig op verzoek van L., maar L. eiste ook schadevergoeding. Na een slepende nationale rechtsgang, waarin het vooral ging over de toepasselijkheid van het vrijwaringsregime voor diensten van de informatiemaatschappij (vergelijk artikel 6:196c BW), werd uiteindelijk een immateriële schadevergoeding toegekend van € 320. Delfi klaagde bij het Hof dat de beslissing om haar aansprakelijk te houden voor berichten van haar gebruikers een schending opleverde van artikel 10 EVRM. In zijn arrest gaat het EHRM de vraag over de toepasselijkheid van de E-commerce richtlijn uit de weg: zijn taak is niet de interpretatie van nationale of EU-wetgeving over te doen, maar te oordelen of die interpretatie door de nationale rechter verenigbaar is met het EVRM. Het onderkent dat de boete een beperking is van artikel 10 EVRM, maar meent dat die dient ter bescherming van de reputatie van eigenaar L.; de beoordeling van de noodzakelijkheid van de inmenging is een kwestie van belangenafweging. Het Hof stelt vast dat de desbetreffende lezersreacties diffamerend waren, oordeelt dat Delfi had kunnen weten dat het artikel (over staking van bepaalde veerdiensten) de nodige boze reacties zou kunnen oproepen en dat er dus een bovengemiddeld hoog risico op diffamerende reacties was, en koppelt daaraan het gevolg dat Delfi bovengemiddeld waakzaam had moeten zijn. Onder die omstandigheden was een (deels geautomatiseerd) noticeand-takedown systeem niet noodzakelijkerwijs voldoende. Het Hof hecht ook belang aan de zeer lage toegekende schadevergoeding van € 320 en concludeert: ‘Based on the above elements, in particular the insulting and threatening nature of the comments, the fact that the comments were posted in reaction to an article published by the applicant company in its professionally-managed news portal run on a commercial basis, the insufficiency of the measures taken by the applicant company to avoid damage being caused to other parties’ reputations and to ensure a realistic possibility that the authors of the comments will be held liable, and the moderate sanction imposed on the applicant company, the Court considers that in the present case the domestic courts’ finding that the applicant company was liable for the defamatory comments posted by readers on its Internet news portal was a justified and proportionate restriction on the applicant company’s right to freedom of expression.’ De uitspraak oogstte felle kritiek van (online) uitgevers en uitingsvrijheidsactivisten. Volgens Dirk Voorhoof ‘doorprikt [het Hof] de illusie dat uitgevers of forumbeheerders van aansprakelijkheid gevrijwaard blijven als zij onrechtmatige of strafbare inhoud na kennisgeving onmiddellijk van hun site verwijderen’.30 De zaak is inmiddels verwezen
2528
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
naar de Grote Kamer en aldaar op 9 juli bepleit.31 Een interessante interventie van de European Information Society Institute vraagt aandacht voor de moeizame positie van (zeer) kleine internettussenpersonen en -platforms als de door de Estlandse rechters aangenomen eigen aansprakelijkheid voor reacties van derden wordt geaccepteerd.32 Meer recent heeft ook het Hof van Justitie een arrest gewezen over de verhouding tussen nieuwswebsites en de E-commerce richtlijn.33 Het Hof bevestigt dat ook een indirect (via reclame) gefinancierde informatiedienst een ‘dienst van de informatiemaatschappij’ kan zijn en dat een krantenwebsite geen beroep toekomt op de vrijwaringen voor ‘mere conduit’ of ‘hosting’ omdat de uitgever van zo’n website actieve controle uitoefent over de aangeboden informatie. Dichter bij huis oordeelde het Hof Amsterdam, anders dan de rechtbank, dat Usenet-aanbieder NSE zich voor wat betreft de doorgifte en opslag van inbreukmakende binaries van auteursrechtelijk beschermde werken kon beroepen op de vrijwaringen voor ‘mere conduit’ respectievelijk ‘hosting’ (artikel 6:196c lid 1 respectievelijk 4 BW) en dus niet aansprakelijk was voor auteursrechtinbreuk door haar abonnees. Wel zag het Hof aanleiding om NSE op grond van artikel 6:196c lid 5 BW te bevelen een effectieve notice-and-takedown procedure te hanteren; daarover mogen partijen zich nu uitlaten.34 3.2 Medewerkingsplichten 3.2.1 Blokkeren en filteren Een andere grondslag voor het opleggen van medewerkingsplichten aan internettussenpersonen is artikel 26d Auteurswet, dat bepaalt dat de rechter ‘op vordering van de maker, tussenpersonen wier diensten door derden worden gebruikt om inbreuk op het auteursrecht te maken, [kan] bevelen de diensten die worden gebruikt om die inbreuk te maken, te staken.’ Het Hof Den Haag oordeelde in januari 2014 dat internetaanbieders Ziggo en XS4ALL niet langer gehouden zijn om de toegang tot de website van The Pirate Bay op grond van artikel 26d Aw te blokkeren voor hun abonnees.35 Hoewel Nederland daarmee enigszins uit de pas loopt met andere landen,36 is het oordeel van het hof gebaseerd op relatief omvangrijke empirische data over de periode sinds de providers begin 2012 op last van de rechtbank waren begonnen met filteren.37 Volgens het hof bleek uit de data weliswaar dat minder mensen The Pirate Bay (rechtstreeks) hadden bezocht, maar was geen sprake van een significante afname in het aantal auteursrechtinbreuken dat door de abonnees van Ziggo en XS4ALL wordt gepleegd. Sinds het arrest hebben ook de andere internetaanbieders die The Pirate Bay op bevel van de rechtbank hadden geblokkeerd, de toegang weer hersteld.38 Brein heeft inmiddels cassatie ingesteld tegen het arrest van het Hof Den Haag en voert daarin (onder meer) aan dat het hof een onjuiste effectiviteitsmaatstaf heeft aangelegd door te kijken naar het effect van een filter op het totale volume aan illegale bestandsuitwisseling. Zij beroept zich op het in maart 2014 gewezen arrest UPC Telekabel Wien van het Hof van Justitie.39 In dit arrest, dat volgt op twee eerdere arresten over filterverplichtingen van tussenpersonen,40 oordeelde het Hof van Justitie dat
een aanbieder van internettoegang die zijn klanten toegang verschaft tot auteursrechtelijk beschermde werken die een derde op een website beschikbaar heeft gesteld zonder toestemming van de rechthebbende, kwalificeert als een tussenpersoon van wie de diensten worden gebruikt om inbreuk te maken op het auteursrecht. Voor een blokkeringsbevel aan een dergelijke internetprovider hoeft naar oordeel van het Hof van Justitie o.a. niet te worden aangetoond dat de klanten van de aanbieder zich daadwerkelijk toegang verschaffen tot de beschermde werken op website van de derde, aangezien een bevel ook preventief van aard kan zijn. Het Hof oordeelt verder dat de betrokken grondrechten, zoals de vrijheid van onderneming van de internetprovider, niet voorschrijven dat de rechter in zijn bevel preciseert welke maatregelen de internetprovider moet nemen dan wel aangeeft dat de internetprovider kan ontkomen aan dwangsommen wegens schending van dit bevel door aan te tonen dat hij alle redelijke maatregelen heeft genomen. Het kan dus aan de tussenpersoon worden overgelaten om de technische parameters van de blokkeringsmaatregel vast te stellen. Tegelijkertijd overweegt het Hof dat die blokkeringsmaatregel géén rechtmatig materiaal mag tegenhouden, omdat dan de informatievrijheid zou worden geschonden. Het Hof verlangt dat er een aparte procedure beschikbaar is waarin de tussenpersoon vóór verbeurte van boetes kan laten vaststellen of de voorgenomen maatregelen voldoende blokkeert, én dat er een procedure wordt ingericht waarin internetgebruikers kunnen klagen dat de voorgestelde maatregel te véél blokkeert. Hoe deze vereisten kunnen worden verzoend, en hoe deze procedurele voorschriften zich verhouden tot de processuele autonomie van de lidstaten, is niet duidelijk. 3.2.2 Overige medewerkingsplichten Niet alleen klassieke internettussenpersonen kwamen in aanraking met tussenpersonenrecht. Ook ING Bank werd geconfronteerd met een eis van de Stichting Brein om NAW-gegevens te verstrekken van rekeninghouders die mogelijk betrokken waren bij file-sharing website FTD World.41 De uitspraak bevat een verrassende overweging 4.2, die erop lijkt neer te komen dat artikel 8 sub f Wbp een grondslag zou kunnen zijn voor verplichte gegevensverwerking door een verantwoordelijke. Vervolgens past
de rechtbank echter alsnog een alleszins navolgbare belangenafweging toe, die weliswaar is geïnspireerd op Lycos vs. Pessers42 maar ook oog heeft voor de eigen positie van de bank. De rechtbank overweegt dat de bank niet ‘instrumenteel’ is bij het plegen van de (beweerde) auteursrechtinbreuken door FTD World of het faciliteren hiervan door FTD World. De rol van een bank is bovendien ‘wezenlijk anders’ dan die van een access of hosting provider, omdat de dienstverlening van de bank geen conditio sine qua non is voor de inbreuk en de ING Bank niet in
Het kan dus aan de tussenpersoon worden overgelaten om de technische parameters van de blokkeringsmaatregel vast te stellen een positie verkeert om de rechtmatigheid van de desbetreffende website te kunnen beoordelen. Nu Brein de overige mogelijkheden om achter de gegevens te komen nog niet heeft uitgeput, er ook een strafrechtelijke weg open staat en de bank een bijzondere positie heeft als het gaat om het garanderen van de vertrouwelijkheid van betalingsverkeer, krijgen de belangen van ING Bank de doorslag. De uitspraak zet daarmee een voorzichtige rem op de in onze vorige kroniek gesignaleerde neiging om in Lycos vs. Pessers een algemene informatieverstrekkingsverplichting te lezen, ondanks de overweging van de Hoge Raad in dat arrest dat het Hof juist ‘niet een algemene regel [had] geformuleerd dat ieder die kennis bezit van bepaalde informatie verplicht is deze te verschaffen aan degene die bij kennisneming van die voor hem onbekende informatie een redelijk belang heeft’. Voor een verdere analyse van de uitspraak, de verhouding met de eerdere uitspraak Brein vs. Techno Design waarin een financiële tussenpersoon wel werd verplicht gegevens ter verstrekken,43 en de houdbaarheid van Lycos vs. Pessers in het licht van de Sabam-arresten van het Hof van Justitie, zij verwe-
29. EHRM 10 oktober 2013, nr. 64569/09,
35. Hof Den Haag 28 januari 2014,
Effectiveness, Costs, Relevance, and Time’,
40. Zie daarover R.D. Chavannes, ‘Belangen-
EHRC 2014-1, nr. 14 m.nt. B. van der Sloot
ECLI:NL:GHDHA:2014:88 (Ziggo c.s. vs.
JIPITEC 2013, 4/2.
afweging in het informatierecht: het arrest
(Delfi vs. Estland).
Stichting Brein).
37. Rb. Den Haag 11 januari 2012,
Scarlet/SABAM en de botsing tussen
30. D. Voorhoof, ‘ISP of online-uitgever:
36. Zie o.a. M. Husovec, ‘European Cases on
ECLI:NL:RBSGR:2012:BV0549 (Stichting
auteursrecht en ondernemingsvrijheid,
Delfi naar de Grote Kamer?’, Mediaforum
Ordering ISPs to Block Certain Websites’,
Brein vs. Ziggo c.s.).
uitingsvrijheid en privacy’, in: 25 jaar Media-
2014/1 p. 1.
www.husovec.eu/2011/11/european-cases-
38. Het betreft access providers KPN, Tele2,
forum, een blik vooruit via de achteruitkijk-
31. Voor de videostream van de pleidooien,
on-ordering-isps-to.html. Er zijn ook in de
T-Mobile en UPC, die The Pirate Bay blok-
spiegel. 25 jaar rechtspraak media- en com-
zie: http://goo.gl/r2ciuq.
periode die deze kroniek bestrijkt diverse
keerden op grond van Rb. Den Haag (vzr.)
municatierecht, Amsterdam: Otto
32. EISI, Third Party Intervention Submission
interessante artikelen geschreven over dit
10 mei 2012, ECLI:NL:RBSGR:2012:BW5387
Cramwinckel 2013, http://blog.chavannes.
In re Delfi AS vs. Estonia, appl. no.
onderwerp, zie bijv.: M. Husovec, ‘Injuncti-
(Stichting Brein vs. UPC c.s.). Co-auteur
net/2013/12/vmc-scarlet/.
64569/09, www.eisionline.org/images/
ons against Innocent Third Parties: The Case
Chavannes trad op voor twee van de betrok-
41. Rb. Amsterdam (vzr.) 14 mei 2013, IER
EISi-Delfi-Intervention.pdf.
of Website Blocking’, JIPITEC 2013, 4/2;
ken access providers.
2013 m.nt. S. Kulk.
33. HvJ EU 11 september 2014, C-291/13
A.R. Lodder & N.S. van der Meulen, ‘Evalua-
39. Hof van Justitie EU, 27 maart 2014,
42. HR 25 november 2005, NJ 2009/550 ,
(Papasavvas).
tion of the Rol of Access Providers. Discussi-
C-314/12 (UPC Telekabel Wien). Zie voor
m.nt. PBH (Lycos vs. Pessers).
34. Hof Amsterdam 19 augustus 2014,
on of Dutch Pirate Bay Case Law and Intro-
het standpunt van Stichting Brein www.
43. Rb. Den Haag (vzr.) 6 december 2011,
ECLI:NL:GHAMS:2014:3435 (NSE vs. Brein).
ducing Principles on Directness,
anti-piracy.nl/nieuws.php?id=321.
IEPT 20111206 (Brein vs. Techno Design).
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2529
Technologie en recht
zen naar de lezenswaardige noot van Kulk in IER. 3.3 Netneutraliteit Alle overeenkomsten voor de levering van internettoegangsdiensten die op of na 1 januari 2013 zijn gesloten, moeten voldoen aan het netneutraliteitsvereiste zoals neergelegd in artikel 7.4a Telecommunicatiewet (Tw). Ter verduidelijking van het begrip internettoegangsdienst is een concept Beleidsregel definitie internettoegangsdienst in de zin van artikel 7.4a Tw geconsulteerd. De beleidsregel preciseert dat de levering van één losse dienst via internet44 niet kwalificeert als internettoegangsdienst, waardoor artikel 7.4a Tw niet op deze levering van toepassing is.45 Overigens lijkt de Nederlandse netneutraliteit in Europa navolging te gaan krijgen: op 14 april 2013 heeft het Europees Parlement ingestemd met een voorstel van Eurocommissaris Kroes om netneutraliteit in Europa in te voeren.46
4. Privacy en vrijheid van meningsuiting Voor ontwikkelingen en vindplaatsen verwijzen wij in de eerste plaats naar de jaarlijkse grondrechtenkronieken in dit blad van Janneke Gerards.47 Voor wat betreft uitspraken van het EHRM heeft de persafdeling het de lezer en de kroniekschrijvers gemakkelijk gemaakt door een nieuwe Fact Sheet te publiceren met bondige samenvattingen van de belangrijkste arresten op het gebied van ‘New technologies’.48 Ook overigens verschenen tijdens de kroniekperiode diverse interessante publicaties over het raakvlak tussen online privacy en vrijheid van meningsuiting.49 4.1 Het ‘recht om vergeten te worden’ Al enige jaren wordt in Brussel onderhandeld en gelobbyd over een nieuwe Privacyverordening, ter vervanging van de uit de klassieke Netscape-tijd daterende Privacyrichtlijn 95/46/EG, in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens. Een van de meest controversiële onderwerpen was de vraag of het EU-recht expliciet moet voorzien in een ‘recht om vergeten te worden’: een recht voor datasubjecten om in bepaalde gevallen te verlangen dat hun persoonsgegevens worden gewist van websites, zoekresultaten, archieven, sociale media, enz.50 Met name de Franse, Italiaanse en Spaanse privacytoezichthouders ijverden al enige tijd voor erkenning van zo’n recht, maar de Artikel 29 Werkgroep van Europese privacytoezichthouders had daar in haar opinie over zoekmachines over gezwegen.51 Nog voordat de Brusselse discussie over toekomstig recht was afgerond, oordeelde het Hof van Justitie in mei 2014 dat de bestaande Privacyrichtlijn al voorziet in een recht om door zoekmachines vergeten te worden.52 Op verzoek van datasubjecten moeten zoekmachine-exploitanten bepaalde zoekresultaten bij een zoekopdracht naar de naam van het datasubject onderdrukken. Dat moet met name wanneer de informatie waarnaar wordt verwezen ‘gelet op het geheel van de omstandigheden van het onderhavige geval, ontoereikend, niet of niet meer ter zake dienend of bovenmatig’ is in relatie tot het datasubject, of ‘wegens zwaarwegende en gerechtvaardigde redenen betreffende [zijn] bijzondere situatie’. Dit recht geldt ‘ook indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorko-
2530
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
mend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is’. Wanneer aan de genoemde voorwaarde is voldaan, krijgen de rechten van het datasubject ‘in beginsel voorrang niet enkel op het economische belang van de exploitant van de zoekmachine, maar ook op het belang van [het] publiek om deze informatie te vinden wanneer op de naam van deze persoon wordt gezocht. Dit zal echter niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen, zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek erbij heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.’
Enkele weken na het arrest heeft Google een apart formulier beschikbaar gesteld dat mensen kunnen gebruiken om gemotiveerde ‘vergeetverzoeken’ in te dienen Volgens annotator Van Hoboken, gepromoveerd op het aansprekende onderwerp zoekmachinevrijheid, bevat het arrest een doorwrochte en overtuigende analyse van de privacybelangen die op het spel staan als het gaat om de vindbaarheid van persoonlijke informatie via zoekmachines; de daartegenover staande belangen van informatievrijheid en ondernemingsvrijheid, en de positieve en wezenlijke rol die zoekmachines spelen, worden daarentegen amper onderzocht.53 Opmerkelijk vindt hij ook de overweging van het Hof (r.o. 38) dat de bescherming van privacybelangen ‘volledig’ dient te zijn: juist in situaties waar botsende, grondrechtelijk genormeerde belangen tegen elkaar moeten worden afgewogen, zal het per definitie niet mogelijk zijn alle rechten ‘volledig’ te beschermen. Christopher Kuner publiceerde een uitgebreide analyse van de uitspraak en de mogelijke implicaties ervan, met name voor de toekomstige Algemene Privacyverordening.54 Hij bekritiseert de op het oog eenzijdige wijze waarop privacy en uitingsvrijheid worden afgewogen en pleit ervoor om de totstandkoming van de Verordening aan te grijpen om een ‘recht om vergeten te worden’ te regelen met meer duidelijkheid, coherentie en nuance dan het Hof in een enkel arrest kan doen. Enkele weken na het arrest heeft Google een apart formulier beschikbaar gesteld dat mensen kunnen gebruiken om gemotiveerde ‘vergeetverzoeken’ in te dienen.55 Daarmee zijn inmiddels meer dan 120 000 verzoeken ingediend. De Artikel 29 Werkgroep heeft in juli 2014 overleg gevoerd met Google, Microsoft en Yahoo over de praktische implementatie van het Costeja-arrest en verwacht in het najaar richtsnoeren te publiceren.56 Een door
Google in het leven geroepen Adviesraad over het recht om vergeten te worden houdt openbare bijeenkomsten in een aantal Europese steden, ‘over hoe het recht van één persoon om vergeten te worden, in balans moet worden gebracht met het recht op informatie van het grote publiek’.57 Eerste Nederlandse uitspraak Ondertussen is de eerste Nederlandse kort geding uitspraak over het recht om vergeten te worden een feit.58 De eiser was in 2012 veroordeeld voor poging tot uitlokking van een huurmoord, mede op basis van verborgencamerabeelden die de vermeende huurmoordenaar maakte van zijn gesprekken met eiser. De zaak en de beelden waren voorwerp geweest van een uitzending van Peter R. de Vries, waarover vooraf in twee instanties was geprocedeerd.59 De eis tot verwijdering van zoekresultaten over de eiser, onder meer naar een (deels fictief, deels feitelijk) boek over hem, wordt door de rechtbank afgewezen. De rechtbank stelt voorop dat terughoudendheid is geboden bij het opleggen van beperkingen aan de werking van zoekmachines, die een belangrijke maatschappelijke functie vervullen om internetgebruikers informatie te laten vinden in de ‘oceaan van informatie’. De functie van catalogus, die de zoekmachine in feite is, zou ernstig worden belemmerd indien strenge beperkingen aan de werking ervan zou worden opgelegd en daarmee zou de zoekmachine aan geloofwaardigheid inboeten. Met betrekking tot het ‘vergeetverzoek’ overweegt de rechtbank: ‘4.11. Aangenomen moet dus worden dat eiser recentelijk een ernstig strafbaar feit heeft gepleegd. Dat heeft tot veel publiciteit aanleiding gegeven, onder meer een televisie-uitzending, diverse perspublicaties en een op de gebeurtenissen gebaseerd, deels fic-
tief, boek. Thans heeft eiser de gevolgen van zijn eigen handelen te dragen. Het plegen van een misdrijf heeft nu eenmaal tot gevolg dat men op zeer negatieve wijze in het nieuws kan komen en dit laat ook op het internet – mogelijk zelfs zeer langdurig – zijn sporen na. Het Costeja-arrest beoogt personen niet te beschermen tegen alle negatieve berichten op internet, maar alleen tegen het langdurig ‘achtervolgd worden’ door berichten die ‘irrelevant’, ‘buitensporig’ of ‘onnodig diffamerend’ zijn. De veroordeling voor een ernstig misdrijf zoals het onderhavige en de negatieve publiciteit als gevolg daarvan zijn in het algemeen blijvend relevante informatie over een persoon. De negatieve kwalificaties die daarbij kunnen voorkomen zullen slechts in zeer uitzonderlijke gevallen ‘buitensporig’ of ‘onnodig diffamerend’ zijn. Gedacht zou kunnen worden aan de situatie dat het gepleegde feit zonder duidelijke aanleiding opnieuw aan de orde wordt gesteld met kennelijk geen ander doel dan de betrokkene te schaden of de situatie dat niet zozeer van zakelijke berichtgeving sprake is, maar van een ‘scheldpartij’. Ten aanzien van de zoekresultaten die eiser verwijderd wil zien is in de dagvaarding in het geheel niet onderbouwd (behalve met de in 4.9 reeds weerlegde argumenten) waarom deze ‘irrelevant’, dan wel ‘buitensporig’ of ‘onnodig diffamerend’ zouden zijn.’ 4.2 Gegevensverwerking door bedrijven Tijdens de verslagperiode heeft het College bescherming persoonsgegevens diverse onderzoeken uitgevoerd naar het privacybeleid van technologiebedrijven.60 Daarbij ging het onder meer om het gebruik van contactgegevens door Whatsapp,61 de inzet van deep packet inspection door mobiele telefonie-aanbieders,62 de verzameling van kijkge-
44. Dus uitdrukkelijk niet in combinatie met
International Journal of Law and Informati-
A. Cornette (Google Spanje vs. Costeja).
58. Rb. Amsterdam (vzr.) 18 september
een internettoegangsdienst.
on Technology, vol. 21, no. 1, 2012, p. 1-30;
Vanwege de betrokkenheid bij dit onderwerp
2014, ECLI:NL:RBAMS:2014:6118 (Google
45. Zie www.internetconsultatie.nl/netneu-
R. van der Zaal, ‘Social mediaverbod: onno-
aan de zijde van Google van co-auteur Cha-
vs. X). Co-auteur Chavannes trad in deze
traliteit.
dig beperking van de uitingsvrijheid?’, TvI
vannes beperken wij ons tot een weergave
zaak op voor Google.
46. Voor de aangenomen tekst wordt ver-
2013/1, onder verwijzing naar Rb. Amster-
van de kernoverwegingen en enkele com-
59. Rb. Amsterdam (vzr.)14 april 2012,
wezen naar www.europarl.europa.eu/sides/
dam 4 december 2012,
mentaren van derden. Voor een uitgebreid
ECLI:NL:RBAMS:2012:BW2460; Hof
getDoc.do?pubRef=-//EP//TEXT+TA+P7-
ECLI:NL:RBAMS:2012:BY9149; M. Richard-
overzicht van juridische commentaren, zie:
Amsterdam 22 mei 2012,
TA-2014-0281+0+DOC+XML+V0//EN.
son, ‘Honour in a Time of Twitter’, 2013,
www.cambridge-code.org/googlespain.html.
ECLI:NL:GHAMS:2012:BW6242, (X en Y vs.
47. J.H. Gerards, ‘Kroniek van de grondrech-
5(1) Journal of Media Law, p. 45-56; A.
53. J.V.J. van Hoboken, Case Note, CJEU 13
SBS Broadcasting en Endemol)
ten’, NJB 2012/2015, afl. 35, p. 2443-2452
Vamialis, ‘Online Defamation: confronting
May 2014, C-131/12 (Google Spain),
60. Het kantoor van co-auteur Chavannes
en NJB 2013/2113, afl. 35, p. 2420-2430.
anonymity’, International Journal of Law
http://goo.gl/ozqKbv. Andere commentaren
treedt op voor een aantal van de betrokken
48. www.echr.coe.int/Documents/FS_New_
and Information Technology, vol. 21, no. 1,
op het arrest zijn o.a. te vinden via het Insti-
ondernemingen.
technologies_ENG.pdf.
2012, p. 31-65.
tute for Ethics & Emerging Technologies
61. Persbericht 28 januari 2013: ‘Overtredin-
49. Zie o.a. R.D. van Leek, ‘De Wbp als
50. Zie J.V.J. van Hoboken, ‘The Proposed
(http://ieet.org/index.php/IEET/more/
gen WhatsApp deels beëindigd na onder-
toetssteen van uitingen op internet: een
Right to be Forgotten Seen from the Per-
is20140912).
zoek CBP en Canadese privacytoezichthou-
jurisprudentieanalyse van Kleintje Muurkrant
spective of Our Right to Remember, Free-
54. C. Kuner, ‘The Court of Justice of the EU
der’ met link naar rapport van bevindingen,
tot nu’, Tijdschrift voor internetrecht
dom of Expression Safeguards in a Conver-
Judgment on Data Protection and Internet
http://www.cbpweb.nl/Pages/
2014/3, p. 75-79; Emiel Jurjens, ‘Hof
ging Information Environment’, juni 2013,
Search Engines: Current Issues and Future
pb_20130128-whatsapp.aspx.
Amsterdam legt lijfsdwang op voor herhaal-
http://goo.gl/0BwVTQ.
Challenges’, http://papers.ssrn.com/sol3/
62. Persbericht 4 juli 2013: ‘Telecomaanbie-
de onrechtmatige uitingen’, MediaReport
51. Article 29 Working Party, Opinion
papers.cfm?abstract_id=2496060.
ders passen data-analyse aan na onderzoek
MR 2014/051 onder verwijzing naar Hof
1/2008 on data protection issues related to
55. https://support.google.com/legal/con-
CBP. Resultaten onderzoek CBP naar packet
Amsterdam 1 april 2014,
search engines, 4 april 2008, http://goo.gl/
tact/lr_eudpa?product=websearch&hl=nl.
inspection door telecomaanbieders’ met link
ECLI:NL:GHAMS:2014:1104; A. Flanagan,
oNXMP.
56. Persbericht Artikel 29 Werkgroep d.d. 25
naar rapporten van bevindingen, www.
‘Defining ‘journalism’ in the age of evolving
52. HvJ EU 13 mei 2014, C-131/12, Com-
juli 2014, http://goo.gl/tc9i3z.
cbpweb.nl/Pages/pb_20130704-onderzoek-
social media: a questionable EU legal test’,
puterrecht 2014/115 m.nt. P. Van Eecke en
57. www.google.com/advisorycouncil/.
analyse-gegevens-mobiel-dataverkeer.aspx.
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2531
Technologie en recht
In sommige gevallen was een korte mediahype voldoende om voorgenomen gegevensverwerkingen te voorkomen, zoals de plannen van Equens om pintransacties te vermarkten gevens via smart-tv’s van TP Vision,63 de nieuwe privacyvoorwaarden van Google64 en, meest recentelijk, de Okki Gekke-bekken-club tandenpoetsapp voor kinderen.65 Ook overigens is er steeds meer aandacht voor de privacy- en overige juridische aspecten van mobiele applicaties (apps).66 Emre Yildirim won in 2012 de Internetscriptieprijs met een onderzoek naar de verzameling van persoonsgegevens door mobiele apps.67 De Artikel 29 Werkgroep publiceerde er begin 2013 een opinie over,68 naast andere opinies over onder meer slimme energiemeters,69 de effectiviteit en beperkingen van verschillende anonimiseringstechnieken70 en privacyaspecten van met het internet verbonden gadgets, sensoren en domotica (het ‘Internet of Things’).71 In sommige gevallen was een korte mediahype voldoende om voorgenomen gegevensverwerkingen te voorkomen, zoals de plannen van Equens om pintransacties te vermarkten72 en van de ING om advertenties te personaliseren op basis van betaalgedrag.73 In ruimere zin is big data een thema geworden. Bij de presentatie van zijn jaarverslag 2013 waarschuwde het Cbp voor de risico’s van het op geavanceerde wijze verwerken van enorme hoeveelheden persoonsgegevens en pleitte het voor zo veel mogelijk anonimisatie van gegevens: ‘Uit de grote berg gegevens kunnen bedrijven en overheden verbanden en behoeften destilleren waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen. Dit kan grote impact hebben op iemands leven. “Voor veel doelen waarvoor big data wordt ingezet, zijn tot de persoon herleidbare gegevens helemaal niet nodig. De gegevens moeten dan onomkeerbaar worden geanonimiseerd.’”74 De meest leesbare verhandeling over het thema is wellicht die van Deirdre Mulligan en Cynthia Dwork75 en op basis daarvan kan de vraag gesteld worden of de door het Cbp voorgestelde anonimisering zo effectief is: het gaat niet alleen om herleidbaarheid, maar heel sterk om selectie in categorieën en in- en uitsluiting op basis daarvan. 4.3 Gegevensverwerking door (semi-)overheden Ook (semi-)overheden waren regelmatig voorwerp van Cbp-onderzoeken. De Rotterdamse vervoerder RET bereikte een schikking en vernietigde reisgegevens van Studenten OV-chipkaarten.76 De websites van de publieke omroep zouden de cookieregels schenden.77 De Belastingdienst werd gedwongen minder inkomensgegevens te verwerken bij de uitvoering van de inkomensafhankelijke huurverhoging.78 Interessanter was een andere procedure die de Belastingdienst voerde tegen de parkeerdienst SMSParking. In het kader van onderzoek naar privégebruik van zakelijke
2532
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
auto’s eiste de Belastingdienst op grond van artikel 53 AWR (Algemene wet inzake rijksbelastingen) verstrekking van alle parkeergegevens (kenteken, datum, locatie en tijd) van SMSParking klanten over het jaar 2012 in het kader van een controle naar 2,5 miljoen zakelijk gebruikte auto’s. SMSParking weigerde en beriep zich met name op de privacy van haar klanten. De Voorzieningenrechter vond het verzoek op zich vallen onder de reikwijdte van artikel 53 AWR, maar met een voor de Belastingdienst onheilspellende motivering: ‘Wie maar genoeg gegevens over het feitelijk gebruik van veel auto’s verzamelt, zal ongetwijfeld iets vinden dat voor de belastingheffing van belang is.’79 Inderdaad volgt daarop een principieel verwoorde afwijzing van de eis wegens schending van artikel 8 EVRM: ‘Artikel 8 EVRM bevat een belangrijk beginsel in de verhouding tussen de overheid (het openbaar gezag) en de burgers. De tot het openbaar gezag gerichte en ter bescherming van de burgers strekkende hoofdregel in artikel 8 EVRM luidt voor zover in dit geval relevant: ‘een ieder heeft recht op respect voor privéleven’ en ‘geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht’. Dit uitgangspunt in de relatie tussen burger en overheid is niet het veelgehoorde ‘wie niets te verbergen heeft, heeft ook niets te vrezen’ maar ‘het dagelijks doen en laten van de burgers gaat de overheid niets aan’. […] Iedere burger moet in beginsel een auto kunnen parkeren op een door die burger verkozen plaats in Nederland, zonder dat de overheid behoeft te weten dat hij dat doet en waarom hij dat doet.’ In reactie op het beroep dat de Belastingdienst deed op het arrest-Stad Rotterdam uit 197480 overwoog de Voorzieningenrechter: ‘De gegevens van SMSParking waar het hier om gaat zijn een voorbeeld van de vele elektronisch vastgelegde gegevensbestanden die in 1974 nog niet of nauwelijks bestonden. Die bestanden bevatten veel informatie die eenvoudig is te relateren aan gedrag van individuele burgers in hun privésfeer en die gegevens blijken zich te lenen voor analyse en gebruik door het openbaar gezag dat zich de belangen als verwoord in artikel 8 lid 2 EVRM zegt aan te trekken. Dat doet in de samenleving de vraag ontstaan naar begrenzing onder meer, maar niet uitsluitend, ten aanzien van de gegevens die mogen worden gebruikt en de wijze waarop het openbaar gezag dat mag doen. Anders gezegd, waar de vastgelegde informatie over burgers enorm is toegenomen, dringt zich in het maatschappelijk debat steeds meer de vraag op: wat is de hoofdregel van artikel 8 EVRM voor de burger nog waard?’
In hoger beroept tapte het Hof Den Bosch uit een heel ander vaatje: het achtte het opvragen van alle parkeergegevens ‘alleszins proportioneel’. Het alternatief om voertuigbewegingen met camera-auto’s te volgen werd, als niet minder belastend, terzijde geschoven. Dat de Staat met deze methode geautomatiseerde inzage krijgt in exact gedateerde locatiegegevens van alle negen miljoen Nederlandse autobezitters, kwam niet aan de orde.81 Het Hof lijkt aan te nemen dat parkeergegevens geen persoonsgegevens zijn en hanteert daarbij een herleidbaarheidscriteruim dat haaks staat op de beschikkingenpraktijk van het CBp: ‘3.5.3. […] De betreffende gegevens zijn niet dadelijk te herleiden naar de persoon van het aldus gebruikte voertuig. Voor zover die gegevens bij SMSParking wel bekend zijn door het gebruik van het bij haar aangemelde klantcontact, wordt niet om deze persoonlijke gegevens door de Belastingdienst aan SMSParking gevraagd.’ Ongetwijfeld zal de Belastingdienst de kentekengegevens echter onmiddellijk koppelen aan de bestuurder (of in elk geval de kentekenhouder) van de desbetreffende auto: het Hof stelt als uitgangspunt vast dat de Belastingdienst voornemens is ‘alle van SMS Parking te verkrijgen parkeergegevens op basis van kentekeninformatie te filteren op fiscale relevantie’. Hoe dat ook zij, de parkeerbedrijven
hebben inmiddels besloten hun bewaartermijnen terug te brengen tot dertien weken, zodat de Belastingdienst alsnog verstoken blijft van complete jaargegevens. 4.4 Snowden De verzameldrift van de Belastingdienst valt uiteraard in het niet vergeleken met die van de geheime diensten van onder meer de Verenigde Staten en het Verenigd Koninkrijk. De door ex-NSA-medewerker Edward Snowden geïnitieerde onthullingen over PRISM en andere surveillanceprogramma’s waren misschien wel hét nieuwsverhaal van 2013 en hebben het debat over de verhouding tussen veiligheid en (digitale) grondrechten nieuw leven ingeblazen. De juridische literatuur is nog betrekkelijk schaars.82 Het Europese Parlement publiceerde een zeer kritisch rapport,83 mede op basis van een getuigenverklaring van Snowden zelf84 en een grondig onderzoek van het Centre for European Policy Studies naar de surveillancepraktijken van een aantal EU-landen waaronder Nederland.85 Lezenswaardig is ook de expert opinion van Ian Brown (Oxford Internet Institute) in de zaak die Big Brother Watch bij het EHRM aanspande tegen het Verenigd Koninkrijk.86 De bredere discussie gaat niet alleen over de activiteiten van inlichtingen- en opsporingsdiensten, maar ook over de al dan niet vrijwillige medewerking daaraan door telecom- en internetbedrijven en hun recht daarover transparant te zijn.87De onthullingen lieten ook Nederland niet onberoerd. De Commissie-Dessems publiceerde een kritisch rapport
63. Persbericht 22 augustus 2013: ‘CBP:
Assessment Template for Smart Grid and
online/privacy-and-big-data).
83. Zie o.a. Committee on Civil Liberties,
persoonsgegevens via smart tv’s verzameld
Smart Metering Systems, http://goo.gl/
76. Persbericht 3 februari: ‘CBP: procedure
Justice and Home Affairs, Report on the US
in strijd met wet. TP Vision niet transparant
GF1iyf.
RET over bewaartermijnen reisgegevens
NSA surveillance programme, surveillance
over verzamelen en bewaren gegevens
70. Article 29 Working Party, Opinion
Studenten OV-chipkaart via schikking beëin-
bodies in various Member States and their
online kijkgedrag’ met link naar rapport van
05/2014 on anonymisation techniques,
digd. RET heeft reisgegevens vernietigd’,
impact on EU citizens’ fundamental rights
bevindingen, www.cbpweb.nl/Pages/
http://goo.gl/0FQC8c.
www.cbpweb.nl/Pages/med_20140203-
and on transatlantic cooperation in Justice
pb_20130822-persoonsgegevens-smart-tv.
71. Article 29 Working Party, Opinion
bewaartermijnen-reisgegevens-ovchip-ret.
and Home Affairs, A7-0139/2014, aangeno-
aspx.
8/2014 on the on Recent Developments on
aspx.
men op 21 februari 2014.
64. Persbericht 28 november 2013: ‘CBP:
the Internet of Things, http://goo.
77. Persbericht 8 juli 2014: ‘CBP: Volgen
84. http://goo.gl/ZC5E2A.
Privacyvoorwaarden Google in strijd met de
gl/1w0A4b.
bezoekers omroepwebsites met cookies in
85. Centre for European Policy Studies, Mass
wet’ met link naar rapport van bevindingen,
72. Zie www.solv.nl/weblog/equens-plan-
strijd met de wet’ met link naar rapport van
Surveillance of Personal Data by EU Mem-
www.cbpweb.nl/Pages/pb_20131128-
nen-verkoop-van-pingegevens/19431.
bevindingen, www.cbpweb.nl/Pages/
ber States and its Compatibility with EU
google-privacybeleid.aspx.
73. Zie o.a. http://fd.nl/onderne-
pb_20140708_npo-cookies-publieke-
Law, CEPS Papers in Liberty & Security in
65. Persbericht 11 september 2014: ‘Over-
men/546161-1403/ing-geeft-adverteerder-
omroep.aspx.
Europe, no. 62, november 2013, http://goo.
tredingen kinderapp beëindigd na onderzoek
inzicht-in-klantgedrag; www.nu.nl/econo-
78. Persbericht 12 juni 2014: ‘CBP: Belas-
gl/ew4xRX.
CBP’ met link naar rapport van bevindingen,
mie/3722010/ing-houdt-privacygevoelige-
tingdienst beëindigt overtreding gebruik
86. Witness statement of Dr Ian Brown, 27
www.cbpweb.nl/Pages/pb-20140911_okki-
proef-met-klantgegevens.html; www.volks-
huurdersgegevens. Verstrekking inkomens-
september 2013, http://goo.gl/BRZCby. Zie
app.aspx.
krant.nl/vk/nl/2680/Economie/article/
gegevens huurders in 2014 niet langer in
verder www.privacynotprism.org.uk/.
66. Gewezen wordt o.a. op D.M. Síthigh,
detail/3616281/2014/03/17/ING-stelt-
strijd met de wet’, www.cbpweb.nl/Pages/
87. Zie o.a. N. van der Laan en B.W. Newitt,
‘App law within: rights and regulation in the
proef-commercieel-gebruik-klantgegevens-
pb_20140612_belastingdienst-inkomensge-
‘Tap secret: de strijd tussen transparantie en
smartphone age’, International Journal of
uit.dhtml.
gevens-scheefwonen.aspx.
geheimhouding. De strijd tussen transparan-
Law and Information Technology 2013,
74. www.cbpweb.nl/Pages/jv_2013.aspx.
79. Rb. Oost-Brabant (vzr.) 26 november
tie en geheimhouding’, Computerrecht
21/2.
75. C. Dwork & D.K. Mulligan, ‘It’s Not
2013, Computerrecht 2014/78 m.nt. T.H.A.
2014/151. Over de steun van de Europese
67. E. Yildirim, Mobile Privacy: is there an
privacy and It’s Not Fair’, 66 Stan. L. Rev.
Wisman.
Commissie aan Microsoft in haar strijd om in
app for that? On smart mobile devices, apps
Online 35. (www.stanfordlawreview.org/
80. HR 10 december 1974, NJ 1975/178.
Europa opgeslagen gegevens van Europese
and data protection, www.internetscriptie-
online/privacy-and-big-data/its-not-privacy-
81. Hof Den Bosch 19 augustus 2014,
gebruikers niet aan de Amerikaanse autori-
prijs.nl/archief/jaar/2012/.
and-its-not-fair). Zie ook het verslag dat D.
ECLI:NL:GHSHE:2014:2803 (Staat vs. SMS
teiten te hoeven afgeven, zie T. Ring, ‘Euro-
68. Article 29 Working Party, Opinion
Verhulst maakte van het congres ‘Big Data
Parking).
pean Commission backs Microsoft in privacy
02/2013 on apps on smart devices, 27
and privacy’ in september 2013 (http://goo.
82. Zie o.a. B. van der Sloot, ‘Privacy in het
fight with US’, SC Magazine 12 augustus
februari 2013, http://goo.gl/CyqsQ.
gl/7MUT6p) en de overige bijdragen aan de
post NSA-tijdperk: Tijd voor een fundamen-
2014, http://goo.gl/ZheDx9.
69. Article 29 Working Party, Opinion
bijbehorende thema-uitgave van Stanford
tele herziening?’, NJB 2014/866, afl. 17,
07/2013 on the Data Protection Impact
Law Review (www.stanfordlawreview.org/
p. 1172-1179.
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2533
Technologie en recht
over de verenigbaarheid van het werk van de diensten met de huidige Wet op de inlichtingen- en veiligheidsdiensten, en pleitte voor een nieuwe, stevig in de wet verankerde balans tussen het effectief kunnen opereren van de diensten en de rechtsstatelijke waarborgen.88 De voor de veiligheidsdiensten verantwoordelijke minister Plasterk kwam in het nauw nadat hij zowel in de Kamer89 als bij Nieuwsuur onjuiste informatie had verschaft over het verzamelen van 1,8 miljoen Nederlandse telefoongegevens.90 De betreffende metadata waren niet zoals eerder door hem gesteld door de NSA verzameld, maar door de Nederlandse Nationale Sigint Organisatie (NSO) en later door Nederland gedeeld met de Verenigde Staten.91 Plasterk overleefde uiteindelijk het debat.92 De kwestie kwam aan het rollen door een procedure tegen de Nederlandse Staat waarin onder meer werd geëist dat de Staat stopt met het gebruik van gege-
Alle kritiek ten spijt, een initiatiefwetsvoorstel van Groenlinks om de bewaarplichtwet in te trekken heeft weinig vooruitgang geboekt en het Agentschap Telecom laat weten de wet gewoon te handhaven vens die niet in overeenstemming met het Nederlandse recht zijn verkregen.93 De rechtbank stelde de Staat echter in het gelijk.94 Hoewel zij vaststelde dat de mogelijkheid bestaat dat Nederlandse autoriteiten informatie ontvangen van buitenlandse diensten die is vergaard op wijzen die de Nederlandse diensten niet zouden zijn toegestaan, is het ontvangen (en gebruiken) daarvan niet in strijd met de Nederlandse wetgeving. De zaak loopt in hoger beroep. 4.5 Vernietiging Dataretentierichtlijn Tegen deze achtergrond moest het Hof van Justitie oordelen over de verenigbaarheid met privacyrechten van de Europese Dataretentierichtlijn, die lidstaten opdraagt telecombedrijven te verplichten om verkeersgegevens te bewaren voor opsporingsdoeleinden.95 Waar de eerder genoemde arresten over afweging van conflicterende grondrechten zich afspeelden in horizontale situaties tussen burgers onderling, is hier sprake van een meer ‘ouderwetse’, verticale toetsing van een beperking door de staat van grondrechten van burgers. Het Hof kan daarom betrekkelijk eenvoudig de klassieke voorwaarden voor beperkingen van grondrechten (artikel 52 lid 1 EU-Handvest) aflopen:96 vormt de richtlijn een inmenging in de privacy- en gegevensbeschermingsrechten van burgers (ja, een ‘zeer ruime en bijzonder zware inmenging’); beantwoordt de inmenging werkelijk aan een doel van algemeen belang (ja, bestrijding van ernstige criminaliteit); en
2534
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
is de inmenging evenredig? De evenredigheidstoets valt uiteen in de vraag of de wettelijke regeling geschikt is (ja, de te bewaren gegevens kunnen nuttig zijn); of zij blijft binnen de grenzen van het strikt noodzakelijke; en of de regeling ‘duidelijke en precieze regels bevat betreffende de draagwijdte en de toepassing van de betrokken maatregel, die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties beschikken dat hun persoonsgegevens worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens.’ Op al deze punten zakt de richtlijn door het ijs: de richtlijn is algemeen van toepassing op ieders telecomgegevens, ongeacht het bestaan van enige verdenking en ook op gegevens van geheimhouders; vereist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid; de richtlijn bevat geen objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan met het oog op het voorkomen, opsporen of strafrechtelijk vervolgen van inbreuken die, gelet op de omvang en de ernst van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten, voldoende ernstig kunnen worden geacht om een dergelijke inmenging te rechtvaardigen; en bevat geen materiële en procedurele voorwaarden betreffende de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. De Nederlandse wet tot implementatie van de Dataretentierichtlijn is in 2009 alleen door de Eerste Kamer gekomen omdat het moest van Brussel. Onder leiding van Hans Franken, in eerdere debatten verklaard tegenstander van de bewaarplicht en overigens een van de grootvaders van technologie en recht, hielp de CDA-fractie deze ‘domme wet’ toen aan een meerderheid met de beroemd geworden onderbouwing dat ‘politieke opportuniteit zwaarder weegt dan wetenschappelijke rationaliteit’.97 Juist vanwege deze historie rees na het arrest-Digital Rights Ireland onmiddellijk de vraag welke gevolgen het wegvallen van de richtlijn zou hebben voor de Nederlandse bewaarplicht. De regering, destijds en nu voorstander van de bewaarplicht, heeft kans gezien die urgent gestelde vraag langdurig in beraad te nemen en voor advies voor te leggen aan de Raad van State en het Cbp. Critici wezen op het opmerkelijke contrast met de situatie toen het Hof van Justitie, twee dagen na het arrest-Digital Rights Ireland, oordeelde dat een privékopie niet uit illegale bron mocht komen, en de staatssecretaris binnen een week liet weten dat het arrest onmiddellijke werking had in Nederland.98 Alle kritiek ten spijt, een initiatiefwetsvoorstel van Groenlinks om de bewaarplichtwet in te trekken heeft weinig vooruitgang geboekt99 en het Agentschap Telecom laat weten de wet gewoon te handhaven.100 In andere EU-landen heeft het arrest inmiddels wel geleid tot opschorting of vernietiging van de nationale bewaarplichtwetgeving.101 4.6 Cookieregels De strenge Nederlandse cookiewetgeving is pas per 1 januari 2013 volledig inwerking getreden, maar staat alweer op het punt om gewijzigd te worden.102 De nieuwe cookiebepaling blijkt – zoals verwacht – in de praktijk zeer
gebruiksonvriendelijk, aangezien internetgebruikers als gevolg van de ruime omvang van artikel 11.7a Tw ook geïnformeerd worden over en om toestemming worden gevraagd voor relatief onschuldige cookies zoals analytics cookies, affiliate cookies en A/B testing cookies die niet (ook) gebruikt worden om bijvoorbeeld unieke interesseprofielen van unieke internetgebruikers op te stellen. Om dit geconstateerde ongemak te verhelpen, heeft de regering een conceptwetsvoorstel geconsulteerd tot aanpassing van de cookiebepaling, als gevolg waarvan de internetgebruiker niet langer hoeft te worden geïnformeerd en om toestemming te worden gevraagd als met het plaatsen of lezen van een cookie informatie wordt verkregen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij, mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de internetgebruiker.103 De regering heeft de aanpassing bovendien aangegrepen om de cookiebepaling te verduidelijken. Het wetsvoorstel ligt op dit moment ter behandeling bij de Tweede Kamer.104 Eerder had de Artikel 29 Werkgroep van Europese privacytoezichthouders een (niet-bindende) opinie gepubliceerd over de wijze van verkrijgen van toestemming voor cookies.105 4.7 Meldplichten datalekken Sinds de vorige kroniek is Nederland een meldplicht rijker. Sinds 1 november 2013 geldt voor een certificatiedienstverlener de verplichting om onverwijld na iedere veiligheidsinbreuk die of ieder integriteitsverlies dat aanzienlijke gevolgen heeft of kan hebben voor de betrouwbaarheid van door hem aangeboden of afgegeven gekwalificeerde certificaten dat te melden bij de ACM.106 Ook zit er een tweetal meldplichten in de pijplijn. In de eerste plaats is er een wetsvoorstel ingediend voor een
meldplicht voor verantwoordelijken in de zin van de Wbp om beveiligingsinbreuken waarvan redelijkerwijs kan worden aangenomen dat die leiden tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens te melden bij Cbp, alsook bij betrokkene(n) indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.107 In de tweede plaats is er van 22 juli tot 17 september 2013 een meldplicht bij de Minister van Veiligheid en Justitie geconsulteerd voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, indien de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken.108 In de literatuur is uitgebreid stilgestaan bij de verschillende (aankomende) meldplichten, waarnaar hier kortheidshalve wordt verwezen.109 Per 5 juni 2012 rustte op aanbieders van een openbare elektronische communicatiedienst op grond van artikel 11.3a Tw al de verplichting om de ACM onverwijld in kennis te stellen van beveiligingsinbreuken die nadelige gevolgen hebben voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. Wanneer dergelijke inbreuken waarschijnlijk ongunstige gevolgen zullen hebben voor de persoonlijke levenssfeer voor degene(n) wiens persoonsgegevens de beveiligingsinbreuk betreft, rust op de aanbieder bovendien de plicht deze individu(en) onverwijld van de inbreuk in kennis te stellen.110 Op grond van de Uitvoeringsverordening 611/2013 van 24 juni 2013 moet de onverwijlde kennisgeving aan de ACM plaatsvinden binnen 24 uur en de kennisgeving aan de individu zonder onnodige vertraging.111
88. Commissie evaluatie Wiv 2002, Evalua-
95. Zie over de voorgeschiedenis par. 8.2
47/2012, http://goo.gl/kteht5, Engelse
door de Tweede Kamer (Kamerstukken II
tie Wet op de inlichtingen- en veiligheids-
van onze vorige kroniek, NJB 2012/2022,
vertaling http://goo.gl/LxJNe3. De Zweedse
2014/2015, 33662).
diensten 2002: Naar een nieuwe balans
afl. 35, p. 2512.
toezichthouder heeft laten weten de wet
108. Zie www.internetconsultatie.nl/meld-
tussen bevoegdheden en waarborgen, 2
96. HvJ EU 8 april 2014, C-293/12 (Digital
voorlopig niet te handhaven: http://goo.
plicht_ict_inbreuken.
december 2013, http://goo.gl/GUHWgt.
Rights Ireland). Zie G.-J. Zwenne en F.
gl/8smXlO.
109. Zie o.a. F. van der Jagt, ‘Iets te melden?
89. Bijvoorbeeld in Kamerstukken II
Simons, ‘Daar kon je op wachten: richtlijn
102. G.H.G.M. van Berkel, ‘Alweer aanpas-
De diverse datalekmeldplichten in kaart
2013/14, 30977, 71 en Kamerstukken II
bewaarplicht ongeldig verklaard’, Tijdschrift
sing ‘cookiewet’ voorgesteld: beter ten halve
gebracht’, NJB 2012/1415; J.M. van Essen,
2013/14, 30977, 77.
voor internetrecht 2014/3, p. 70-74.
gekeerd’, NJB 2013/386, afl. p. 480-482.
‘Nieuwe meldplichten in privacyland’, P&I
90. Dit naar aanleiding van een grafiek in Der
97. Handelingen I 2008/09, 39 (6-7-2009),
103. Zie www.internetconsultatie.nl/cookie-
2013/5; H.A.J. de Jong & G.C.J. Erents,
Spiegel dat gebaseerd op de gelekte informa-
p. 1807. Ook de daarop volgende toelich-
bepaling.
‘Online Overeenkomsten en meer’, TvI
tie van Snowden een aantal van 1,8 miljoen
ting, interrupties en reacties behoren nog
104. Wijziging Telecommunicatiewet in
2013, afl. 5/6; F.J. Zuiderveen Borgesius, ‘De
Nederlandse telefoongegevens toonde.
altijd tot de klassiekers van Handelingen I.
verband met toevoegen uitzondering op
meldplicht voor datalekken in de Telecom-
91. Brief van minister Plasterk (BZK) en
98. HvJ EU 10 april 2014, C-435/12 (ACI
‘cookiebepaling’, Kamerstukken II 2013/14,
municatiewet’, Computerrecht 2011/4.
minister Hennis-Plasschaert (Defensie) d.d.
Adam vs. Thuiskopie); brief van staatssecre-
33902, 2.
110. F.J. Zuiderveen Borgesius, ‘De meld-
4 februari 2014 aan de Tweede Kamer met
taris Teeven aan de Tweede Kamer van 17
105. Opinie 02/2013 van de Artikel 29
plicht voor datalekken in de Telecommunica-
een reactie op een bericht in Der Spiegel
april 2014, Kamerstukken II 2013/14,
Werkgroep met richtsnoeren voor het ver-
tiewet’, Computerrecht 2011/4.
over 1,8 miljoen records metadata die de
29838, 72
krijgen van toestemming voor cookies van 2
111. Zie artikelen 2 en 3 van de Verordening
Nationale Sigint Organisatie (NSO) heeft
99. Voorstel van wet van het lid Van Tonge-
oktober 2013.
(EU) nr. 611/2013 van de commissie van 24
verzameld in het kader van terrorismebe-
ren tot intrekking van de Wet bewaarplicht
106. Besluit van 17 september 2013 tot
juni 2013 betreffende maatregelen voor het
strijding en militaire operaties in het buiten-
telecommunicatiegegevens, Kamerstukken II
wijziging van het Besluit elektronische hand-
melden van inbreuken in verband met per-
land. Zie www.rijksoverheid.nl.
2013/14, 33939.
tekeningen in verband met een meldings-
soonsgegevens op grond van Richtlijn
92. Kamerstukken II 2013/14, 30977, 82.
100. http://webwereld.nl/overheid/82140-
plicht voor veiligheidsinbreuken en integri-
2002/58/EG van het Europees Parlement en
93. Zie dagvaarding op www.bureaubrand-
agentschap-telecom-blijft-bewaarplicht-
teitsverlies betreffende gekwalificeerde
de Raad betreffende privacy en elektronische
eis.com.
handhaven.
certificaten.
communicatie.
94. Rb. Den Haag 23 juli 2014,
101. Zie o.a. het arrest van het Oostenrijkse
107. Het wetsvoorstel wordt op het moment
ECLI:NL:RBDHA:2014:8966.
Verfassungsgerichtshof van 27 juni 2014, G
van schrijven van deze kroniek behandeld
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2535
Technologie en recht
Hoewel de meldplichten als paddenstoelen uit de grond lijken te schieten, is het maar de vraag of meldplichten in de praktijk effectief zijn en incidenten als bijvoorbeeld het Diginotar incident zullen voorkomen, gelet op de ingrijpende consequenties voor een bedrijf als een incident uitkomt (getuige het faillissement van Diginotar).112
van (met name) de wettelijke regelingen inzake krediettransactie dan wel kredietovereenkomst, en daarmee ook van de Wft, ingrijpende en kostbare gevolgen heeft voor aanbieders van telefoonabonnementen. De Hoge Raad is daarvan niet onder de indruk en speelt de bal door naar de wetgever om desgewenst te voorzien in relevante uitzonderingen.
5. IT-, contracten- en consumentenrecht 5.1 Licenties bij faillissement Op 11 juli 2014 heeft de Hoge Raad een interessant arrest gewezen over de bevoegdheden van de curator na het uitspreken van een faillissement, dat ook interessant is voor de licentiepraktijk.113 In het Berzona-arrest oordeelt de Hoge Raad dat het uitspreken van een faillissement niet tot gevolg heeft dat de curator ‘actief’ vorderingen of bevoegdheden toekomt die niet worden toegekend door de wet of de overeenkomst, aangezien een andere opvatting in strijd zou komen met het beginsel dat het faillissement geen invloed heeft op bestaande wederkerige overeenkomsten. Als voorbeeld van een dergelijke actieve bevoegdheid noemt de Hoge Raad een bevoegdheid tot ontruiming of opeising van een gehuurde onroerende zaak als de huurovereenkomst nog loopt, maar evengoed zou kunnen worden gedacht aan het verbieden van het gebruik van software door een licentienemer. De curator mag naar het oordeel van de Hoge Raad enkel uit de overeenkomst voortvloeiende verbintenissen die uit of ten laste van de boedel moeten worden voldaan (bijv. betalingen) ‘passief’ niet nakomen. Eerder werd in de praktijk wel aangenomen dat een curator bij faillissement ook de (actieve) bevoegdheid zou hebben om bijv. softwarelicenties te beëindigen,114 aangezien de Hoge Raad in 2006 in het Nebula-arrest heeft geoordeeld dat de curator niet gebonden is aan voor het faillissement verleende contractuele rechten op een onroerende zaak.115 5.2 Consumentenbescherming ‘Gratis’ mobiele telefoon De Hoge Raad oordeelde in een prejudiciële procedure dat de levering van een ‘gratis’ mobiel toestel als onderdeel van een (duur) telefonieabonnement moet worden aangemerkt als een koop op afbetaling, waarvoor diverse bijzondere regels gelden ter bescherming van consumenten.116 De Hoge Raad benadrukt dat gekeken moet worden naar de strekking van de overeenkomst. De gebezigde vormgeving, benaming en formulering van de overeenkomsten – die door de aanbieder worden bepaald en niet door de consument – zijn niet beslissend, omdat anders de beoogde bescherming van de consument zou kunnen worden ontgaan. De Hoge Raad formuleert vervolgens als uitgangspunt dat de overeengekomen, door de consument te betalen maandbedragen niet alleen betrekking hebben op de vergoeding voor de door deze af te nemen telecommunicatiediensten, maar mede strekken tot afbetaling van een koopprijs voor de mobiele telefoon. Dat brengt mee dat een telefoonabonnement inclusief toestel ter zake van de mobiele telefoon in beginsel is aan te merken als een koop op afbetaling, en tevens als een krediettransactie dan wel kredietovereenkomst. De provider had nog aangevoerd dat toepasselijkheid
2536
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
Implementatiewet richtlijn consumentenbescherming Een belangrijke ontwikkeling op het gebied van de (digitale) consumentenbescherming is de inwerkingtreding van de Implementatiewet richtlijn consumentenbescherming op 13 juni 2014.117 De implementatiewet richtlijn consumentenbescherming implementeert de op 25 oktober 2011 tot stand gekomen Richtlijn consumentenrechten118 in boek 6, 7 en 7A van het Burgerlijk Wetboek, de Wet handhaving consumentenbescherming, de Wet op het financieel toezicht en de Overgangswet nieuw Burgerlijk Wetboek. De implementatiewet voorziet in intrekking van de Colportagewet, die daarmee het zoveelste slachtoffer van de digitalisering lijkt. De implementatiewet ziet echter, net als de richtlijn, op alle overeenkomsten die tussen handelaren en consumenten zijn gesloten: op afstand (bijvoorbeeld via internet), buiten verkoopruimten (bijvoorbeeld colportage) dan wel anders dan op afstand en buiten verkoopruimten (bijvoorbeeld in de winkel). Deze kroniek leent zich er niet toe de implementatiewet richtlijn consumentenrechten uitgebreid te behandelen.119 Belangrijke wijzigingen als gevolg van de implementatiewet zijn de uitbreiding van de bestaande informatieplichten voor handelaren en de verlenging van het bestaande herroepingsrecht van de consument. Om de uitoefening van het herroepingsrecht te vereenvoudigen, is bovendien een standaardformulier voor de herroeping ontwikkeld. De informatieplicht en het herroepingsrecht zijn ook van toepassing op het aanbieden van digitale inhoud, een begrip dat door de richtlijn consumentenrechten is geïntroduceerd. Opvallend is dat de implementatiewet de bepalingen over consumentenkoop ook van overeenkomstige toepassing verklaart op de levering van digitale inhoud die niet op een materiële drager is geleverd aan een consument (enkele uitzonderingen daargelaten).120
6. Strafrecht en strafvordering 6.1 Cybercrime Dit jaar berekende McAfee dat cybercrime de Nederlandse economie € 8,8 miljard per jaar kost, ongeveer 1,5 procent van het bruto nationaal product.121 Dat beeld volgt ook uit het door minister Opstelten gepresenteerde rapport ‘Cybersecuritybeeld Nederland’.122 Hierin wordt geconcludeerd dat de impact van cyberaanvallen toeneemt, waarbij het gebrek aan ICT duurzaamheid een risico vormt voor de maatschappelijke veiligheid. De grootste dreiging gaat uit van beroepscriminelen en staten. Opmerkelijk is het verband dat het rapport legt tussen de toenemende risico’s van cybercrime en de (maatschappelijke) druk op privacybelangen. De uit een behoefte naar veiligheid en controle ontstane grootschalige dataverzamelingen vormen namelijk een risico voor onze cyberveiligheid. Kortom: een vicieuze cirkel. De strijd tegen cybercrime is dweilen met de kraan open, zo vond het hoofd van het European Cybercrime
Center Troels. Opsporing en vervolging is zinloos. Het duurt lang, kost handen vol geld en aan het eind van de rit blijken de verdachten veelal ongrijpbare Russische criminelen. ‘Disruption’ van de activiteiten is in zijn beleving
De levering van een ‘gratis’ mobiel toestel als onderdeel van een (duur) telefonieabonnement moet worden aangemerkt als een koop op af betaling zinvoller.123 Het kabinet blijft desalniettemin investeren in de bestrijding van cybercrime, zo bleek op Prinsjesdag.124 Dat is ook nodig, want de Nederlandse politie worstelt. Ondanks de invoering van het High Tech Crime Team, het National Cyber Security Center, het Computer Emergency Response Team en gespecialiseerde officieren125 wordt
gepleit voor reorganisatie van de politie in de strijd tegen cybercrime.126 6.2 Wetsvoorstel versterking bestrijding computercriminaliteit III De wetgever maakt haast met de herintroductie van het ‘wetsvoorstel versterking bestrijding computercriminaliteit’ (‘Computercriminaliteit III’) dat in mei 2013 in consultatie ging.127 Het voorstel heeft als doel de toenemende bedreigingen en kwetsbaarheden op het terrein van computercriminaliteit het hoofd te bieden door het juridisch instrumentarium aan te passen naar aanleiding van technologische) ontwikkelingen. In het kort biedt het wetsvoorstel de opsporingsdiensten de mogelijkheden om op afstand geautomatiseerde werken binnen te dringen en om software te plaatsen voor de opsporing van ernstige vormen van cybercrime waarmee op afstand gegevens in een geautomatiseerd werk kunnen worden doorzocht en ontoegankelijk gemaakt (ook wel: ‘terughacken’128). Daarnaast wordt heling van computergegevens strafbaar en kunnen verdachten van bepaalde misdrijven worden verplicht mee te werken aan het openen van versleutelde bestanden op hun computer (het zogenaamde decryptiebevel). Het was de tweede maal dat het wetsvoorstel in consultatie ging. De vorige consultatieronde had jaren geleden zoveel kritiek opgeleverd dat herbezinning noodzakelijk bleek.129 Voornaamste kritiek was de angst voor
112. Zie B. Nieuwenhuizen, The legal positi-
2011/83/EU van het Europees Parlement en
2012/1; J.W. Rutgers, Kroniek van het Euro-
instead, warns top cop’, 29 april 2014, www.
on and social effects of security breach
de Raad van 25 oktober 2011 betreffende
pees privaatrecht, NJB 2014/800, afl. 15, p.
theregister.co.uk.
notification laws, winnaar van de Internets-
consumentenrechten, tot wijziging van
1073-1081..
124. ‘Opstelten en Teeven zetten veilig-
criptieprijs 2013. De scriptie is te downloa-
Richtlijn 93/13/EEG van de Raad en van
120. C. Jeloschek & V. van Druenen, ‘De
heidsbeleid met kracht voort’, zie www.
den op de website www.internetscriptieprijs.
Richtlijn 1999/44/EG van het Europees
implementatie van het nieuwe regime voor
rijksoverheid.nl.
nl en in boekvorm verschenen bij DeLex.
Parlement en de Raad en tot intrekking van
overeenkomsten op afstand. Is de wetgever
125. Zie o.a. antwoorden Kamervragen aan
113. HR 11 juli 2014, NJB 2014/1439 (ABN
Richtlijn 85/577/EEG en van Richtlijn 97/7/
te ver doorgeschoten wat betreft de levering
Minister van Veiligheid en Justitie Opstelten
vs. Berzona).
EG van het Europees Parlement en de Raad
van digitale inhoud?’ TvI 2013, afl. 2; R.
d.d. 13 augustus 2014, 2014Z10959.
114. Zie bijv. M. Weij, ‘De Nebula-storm is
(PbEU L 304/64) (Implementatiewet richtlijn
Rinzema & F. Melis, ‘Wat betekent het koop-
126. Daartoe pleit Hoofd Landelijke Recher-
overgewaaid: rust in escrowland’; D. van
consumentenrechten).
recht voor zakelijke softwarelicenties?’,
che Wilbert Paulissen in ‘Onderwereld ont-
Engelen, ‘De Hoge Raad keert op zijn Nebu-
118. Richtlijn 2011/83/EU van het Europees
Computerrecht 2013/43, afl. 2, p. 88-97;
dekt in hoog tempo internet’, Het Financiee-
la-schreden terug in ABN AMRO v Berzona’,
Parlement en de Raad van 25 oktober 2011
H.A.J. de Jong & G.C.J. Erents, ‘Online
le Dagblad 12 juli 2014.
B913118.; De Brauw Blackstone Westbroek,
betreffende consumentenrechten, tot wijzi-
Overeenkomsten en meer’, TvI 2013, afl.
127. Wijziging van het Wetboek van Straf-
‘Licensees slightly better off in bankruptcy of
ging van Richtlijn 93/13/EEG van de Raad
5-6.
recht en het Wetboek van Strafvordering in
Dutch licensor – but not out of the woods’.
en van Richtlijn 1999/44/EG van het Euro-
121. Center for Strategic and International
verband met de verbetering en versterking
Kritisch over het gevolg van het Nebula
pees Parlement en de Raad en tot intrekking
Studies/McAfee, ‘Net Losses: Estimating the
van de opsporing en vervolging van compu-
arrest voor IE-licenties: H. Struik, ‘Nebula in
van Richtlijn 85/577/EEG en van Richtlijn
Global Cost of Cybercrime, Economic impact
tercriminaliteit (Computercriminaliteit III).
het licht van Oracle vs. UsedSoft. Softwareli-
97/7/EG van het Europees Parlement en de
of cybercrime II’, juni 2014 (www.mcafee.
128. Over de definitie van hacken was overi-
centies in faillissement nader beschouwd’,
Raad (PbEU L 304/64).
com/us/resources/reports/rp-economic-
gens het een en ander te doen. Het OM
NJB 2013/2507, afl. 43, p. 2994-3000.
119. Voor meer informatie over de Imple-
impactcybercrime2.pdf). Overigens kan
stelde in een campagne dat hacken ‘het
115. HR 3 november 2006, NJ 2006/155
mentatiewet richtlijn consumentenrechten
kritisch naar dergelijke cijfers worden geke-
zonder toestemming inbreken in computers’
(Nebula). Voor een uitgebreide analyse van
wordt daarom verwezen naar: C. Jeloschek
ken aangezien ze berekend zijn door een
was, waartegen diverse hackers in een open
dit arrest wordt verwezen naar Th.C.J.A. van
& V. van Druenen, ‘De implementatie van
bedrijf dat geld verdient aan computerbevei-
brief ageerden. Zij voelden zich gecriminali-
Engelen, ‘IE-Goederenrecht’, Utrecht: Uitge-
het nieuwe regime voor overeenkomsten op
liging. Desgevraagd kon minister Opstelten
seerd omdat hacken niet altijd zonder toe-
verij Boek 9 2013, p. 429-442.
afstand. Is de wetgever te ver doorgeschoten
de cijfers ook niet bevestigen: Kamervragen
stemming gebeurt en er ook niet altijd
116. HR 13 juni 2014, NJB 2014/1236, JOR
wat betreft de levering van digitale inhoud?’
aan Minister van Veiligheid en Justitie
ergens wordt ingebroken. Zie open brief van
2014/206 m.nt. J.M. van Poelgeest & J.W.A.
TvI 2013/2; M.Y. Schaub, ‘Het herroepings-
Opstelten d.d. 13 augustus 2014,
diverse hackersorganisaties d.d. 26 augustus
Biemans.
recht bij overeenkomsten op afstand’, NTBR
2014Z10959.
2014 op www.computervrede.nl.
117. Wet van 12 maart 2014 tot wijziging
2014/23; A.L.M. Keirse, S.A. Kruisinga &
122. Jaarrapportage Cybersecuritybeeld
129. Zie bijv.: Advies van de Raad voor de
van de Boeken 6 en 7 van het Burgerlijk
M.Y. Schaub ‘Nieuws uit Europa: Twee nieu-
Nederland, van Nationaal Cyber Security
rechtspraak van 30 september 2010 over het
Wetboek, de Wet handhaving consumen-
we wetgevingsinstrumenten: de Richtlijn
Centrum, juli 2014.
wetsvoorstel bestrijding computercriminali-
tenbescherming en enige andere wetten in
Consumentenrechten en het gemeenschap-
123. The Register, ‘Cuffing darknet-dwelling
teit, gepubliceerd op www.rechtspraak.nl
verband met de implementatie van Richtlijn
pelijk Europees kooprecht’, Contracteren
cyberscum is tricky. We’ll ‘disrupt’ crims
onder nr. 2010/38.
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2537
Technologie en recht
censuur als gevolg van de invoering van een verwijderingsbevel door de officier van justitie van internetcontent gericht aan internettussenpersonen, zonder tussenkomst van de rechter-commissaris. Aan die kritiek is de regering tegemoet gekomen. Het is echter de vraag of die ‘winst’ ook van feitelijke waarde zal zijn voor de bescherming van de vrijheid van meningsuiting. In de praktijk blijkt het Openbaar Ministerie niet zelden het rechterlijke toestemmingsvereiste te omzeilen door uit te gaan van een (te) beperkte definitie van het begrip ‘tussenpersoon’. Menig serviceprovider kiest daardoor (in de onjuiste veronderstelling dat het geen strafrechtelijke immuniteit geniet voor third-party content ex artikel 54a Sr130) eieren voor zijn geld en haalt op (dreigend) verzoek van de officier van justitie content offline.131 Hoe dan ook, de kansen voor het hernieuwde wetsvoorstel lijken (mede door de tegemoetkomingen) te zijn toegenomen. Dat wil niet zeggen dat het huidige voorstel kritiekloos wordt omarmd; met name het decryptiebevel stuit op verzet. Dat is niet verwonderlijk, omdat een dergelijk bevel al in de jaren negentig werd overwogen maar uiteindelijk werd geschrapt, omdat het afbreuk deed aan het zwijgrecht.132 Tijden veranderen.133 Ook het voorstel om in het kader van de opsporing ‘terug te hacken’ krijgt niet bij iedereen de handen op elkaar. Zo is het College Bescherming Persoonsgegevens kritisch omdat het wetsvoorstel onvoldoende blijk geeft van een zorgvuldige afweging binnen de grondwettelijke kaders, met name daar waar het gaat om de vraag of wel een dringende noodzaak (in het licht van artikel 8 EVRM) bestaat.134 De moeite die het de wetgever al jaren kost om het wetsvoorstel door het parlement te loodsen lijkt overigens mede de voedingsbodem voor een in juni van dit jaar aangekondigde stelselvernieuwing van het Wetboek van Strafvordering. Speerpunt is de behoefte om het strafvorderlijke legaliteitsbeginsel in te perken opdat formele wetgeving voldoende ruimte biedt voor lagere regelgeving (zoals amvb’s, ministeriele regelingen en aanwijzingen van het College van procureurs-generaal) waarmee sneller kan worden ingespeeld op maatschappelijke ontwikkelingen en behoeften uit de praktijk. Uitdrukkelijk worden daaronder door de minister ook de technologische ontwikkelingen geschaard.135 Overigens lijken de opsporingsdiensten een voorschot te nemen op de toekomstige bevoegdheden. Volgens Bits of Freedom bezit de politie actieve licenties van software waarmee veel digitale opsporingshandelingen uit kunnen worden gevoerd waar de huidige wetgeving nog niet uitdrukkelijk in voorziet.136 6.3 Technisch opsporen De moeizame invoering van het wetsvoorstel Computercriminaliteit III toont aan dat wetgeving de technische
De implementatiewet voorziet in intrekking van de Colportagewet, die daarmee het zoveelste slachtoffer van de digitalisering lijkt 2538
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
ontwikkelingen niet kan bijbenen. Discussies over de toelaatbaarheid zijn het gevolg. Toch blijven eveneens oude technische opsporingsbevoegdheden in zwang. 6.3.1 Taps Ook deze kroniekperiode staat Nederland weer in de top van de wereldwijde telefoontap statistieken. In 2012 werden er 25 487 telefoontaps aangelegd, een toename van 3%.137 Het aantal ip-taps steeg nog explosiever: in 2012 werden er 16 676 internettaps geplaatst, het jaar daarvoor waren dat er 3331.138 Deze forse stijging wordt door minister Opstelten (deels) toegeschreven aan de toename van het aantal smartphones. Ook het aantal bevragingen van historische gegevens neemt jaarlijks toe. In 2012 gebeurde dit 56 825 keer, een stijging van 10% op jaarbasis. Zorgelijke cijfers, zo vindt het College voor de Rechten van de Mens die het kabinet al in 2012 opriep onderzoek te doen; een oproep die dit jaar werd herhaald.139 Het nut van de telefoontaps staat echter ter discussie. Een ouderwets telefoongesprek voert bijna niemand meer.140 Het – al dan niet versleuteld – versturen van informatie via internet is veel populairder, waardoor de politie wordt overspoeld door terabytes aan informatie waar zij zich geen raad mee weet.141 6.3.2 Technische hulpmiddelen (IMSI-catcher en stille sms) Discussie was er deze kroniekperiode (opnieuw) over de (legaliteit) van de inzet van de IMSI-catcher en de ‘stealth sms’, twee opsporingsmethoden die niet expliciet in de wet zijn geregeld en waarmee de locatie van een verdachte kan worden achterhaald.142 Over de toelaatbaarheid werd zeer wisselend gedacht,143 maar de Hoge Raad oordeelde dat de grondslag voor de inzet van deze opsporingsmiddelen kon worden gevonden in artikel 3 Politiewet in combinatie met de artikelen 141 en 142 Sv.144 Overigens betekent dit niet dat de inzet onder alle omstandigheden is toegestaan. Dit hangt af van de duur en intensiteit van de inzet en van het beeld dat van de bewegingen van de verdachte wordt verkregen. Minister Opstelten lichtte toe dat het gebruik van de stille sms dient te worden verantwoord in een (verplicht) proces-verbaal waarin de duur en de frequentie van de inzet worden geverbaliseerd.145 6.3.3 Keylogger Nieuwe onenigheid valt te verwachten over de inzet van de keylogger, software die het mogelijk maakt om o.a. realtime informatie, zoals toetsaanslagen, screenshots en muisbewegingen, van een computer op te slaan en te monitoren. Voor zover bekend werd hiervan in Nederland dit jaar voor het eerst gebruik gemaakt in de Amanda Todd zaak.146 De wettelijke basis voor de keylogger is diffuus. Daarbij speelt mee dat de keylogger bij uitstek ‘terughack’ software lijkt zoals voorgesteld in het wetsvoorstel Computercriminaliteit III. Daaruit zou kunnen volgen dat de inzet vooralsnog niet is toegestaan. 6.3.4 Drones Onbemande luchtvaartuigen die op afstand worden bestuurd zijn niet meer weg te denken uit het straat-, of beter gezegd, luchtbeeld. Het is niet alleen leuk speelgoed, maar ook een ideaal middel voor toezicht en opsporing.
Reeds in 2013 zei de Minister van Justitie en Veiligheid dat drones van Defensie door de politie werden ingezet in opsporingsonderzoeken en voor de (handhaving van) de openbare orde.147 De inzet van drones ten behoeve van de opsporing is echter met schimmigheid omgeven.148 Onlangs werd door de politierechter de behandeling van een strafzaak aangehouden om meer informatie te verkregen over de inzet van een drone.149 Dit jaar is een wetsvoorstel aangenomen waardoor gemeenten de bevoegdheid krijgen gebruik te maken van flexibel cameratoezicht.150 Voor de centrale overheid ontbreekt evenwel regelgeving, hetgeen leidde tot Kamervragen.151 Privacy, aansprakelijkheid en wettelijke bevoegdheden zijn daarbij terugkerende thema’s. Het vliegen met een drone voor particulieren is geregeld in de Luchtvaartwet en de daarbij behorende Regeling modelvliegen die per 1 juli 2013 is gewijzigd.152 Sindsdien is het verboden om bedrijfsmatig met een drone te vliegen, tenzij hiertoe een ontheffing is verleend.153 6.3.5 Aanwijzing handhaving Telecommunicatiewet Per 1 juli 2014 is de Aanwijzing handhaving Telecommunicatiewet in werking getreden.154 Deze aanwijzing geeft regels voor de opsporing en vervolging bij overtredingen van de Telecommunicatiewet, bijv. het gebruik van jammers (blokkeerzenders van mobiele-telefonie en GPS signalen) en de verstoring van frequentieruimte in radiosignalen door etherpiraten of marifoons zonder vergunning.
6.4 Delen van terroristisch beeldmateriaal Weinig onderwerpen hebben de discussie over de uitingsvrijheid zo aangewakkerd als het op sociale media delen van de video waarop de Amerikaanse journalist James Foley door jihadisten wordt onthoofd. De video werd al kort na plaatsing vele duizenden malen gedeeld. Na ontstane ophef hebben zowel YouTube als Twitter actief stappen ondernomen tegen gebruikers die de video deelden.155 In Groot-Brittannië waarschuwde de politie zelfs dat het delen, downloaden en bekijken van de video strafbaar zou zijn onder de antiterreurwetgeving.156 Ook in de Tweede Kamer werd (mede) naar aanleiding van de onthoofdingsvideo gedebatteerd over de wenselijkheid van strafbaarstelling van dergelijk beeldmateriaal. Een motie om de verheerlijking van terrorisme strafbaar te stellen redde het echter niet.157 De aanpak van dergelijke video’s valt in Nederland mogelijk onder de strafbaarstelling van opruiing (tot een terroristisch misdrijf) op basis van artikel 131 lid 2 Sr. Zonder opzet op het aanzetten tot een misdrijf of agressie tegen het gezag lijkt echter het enkele delen van de beelden daar niet snel onder te vallen. 6.5 Rechtspraak De Hoge Raad oordeelde in 2013 dat een inbraak op een router met een gekraakt wachtwoord, het ‘meesurfen met de buren’, onder omstandigheden computervredebreuk kan opleveren. Het hof had de verdachte vrijgesproken omdat een router niet geschikt is om zowel gegevens op te slaan, als te verwerken en over te dragen, de drie cumu-
130. Anders dan de civielrechtelijke immu-
Justitie d.d. 17 februari 2014, gepubliceerd
verdachte (en dus niet zijn locatie) wordt
NOS 25 juni 2014, www.nos.nl. In deze zaak
niteit van aansprakelijkheid voor third party
op www.cbpweb.nl.
achterhaald.
werden tientallen meisjes afgeperst en
content voor ‘tussenpersonen’, is de straf-
135. Toespraak minister Opstelten tijdens
143. Voor rechtspraak omtrent de IMSI-cat-
gedwongen tot seksuele handelingen voor
rechtelijke immuniteit absoluut. Uit artikel
het congres Modernisering Wetboek van
cher: zie Rb. Utrecht 23 januari 2009,
de webcam.
54a Sr volgt dat een tussenpersoon geen
Strafvordering van 19 juni 2014, gepubli-
ECLI:NL:RBUTR:2009:BH0748 en ook
147. Aanhangsel Handelingen II, 2012/13,
verplichting heeft content te verwijderen zo
ceerd op www.rijksoverheid.nl.
Gerechtshof Arnhem 24 januari 2012,
1847.
lang geen bevel tot verwijdering (na mach-
136. Zie ‘Is het hack straks van de dam’, op
ECLI:NL:GHARN:2012:BV3076. Voor uit-
148. Zie ook: Brief ‘Besluit wob-verzoek
tiging van de rechter-commissaris) is ont-
www.bof.nl.
spraken over de stealth sms zie: Gerechtshof
drones/UAV’, Politie Zeeland-West-Brabant
vangen. De in par. 3.2 besproken uitspra-
137. Brief van de minister aan de Tweede
Den Bosch 15 augustus 2013,
1 mei 2013, en Brief ‘Besluit op uw WOB-
ken die de civielrechtelijke immuniteit
Kamer, ‘Tapstatistieken 2012’, 18 juli 2013.
ECLI:NL:GHSHE:2013:4046 (kritisch over de
verzoek’, Politie Noord-Holland 27 augustus
beperken hebben derhalve geen invloed op
138. G. Odinot, D. de Jong, J.B.J. van der
beheersbaarheid van de inzet), Gerechtshof
2013, www.politie.nl.
de strafrechtelijke immuniteit van tussen-
Leij, C.J. de Poot & E.K. van Straalen, Het
Arnhem-Leeuwarden 7 juli 2013,
149. ’Rechtbank: opheldering over drone
personen.
gebruik van de telefoon- en internettap in
ECLI:NL:GHARL:2013:5849; Rb. Amsterdam
boven Arnhem’, Omroep Gelderland 4
131. Dat artikel 54a Sr niet geheel van
de opsporing, Boom Lemma Uitgevers,
8 maart 2011,
augustus 2014.
onwaarde blijkt en in de praktijk soms nog
2012.
ECLI:NL:RBAMS:2011:BQ9049, Rb. ’s-Her-
150. Kamerstukken II 2012/13, 33582, 2.
wel van de verwijderingsbevoegdheid
139. Mensenrechten in Nederland 2012,
togenbosch 14 juni 2012,
151. Zie bijv.: Aanhangsel handelingen II
gebruik werd gemaakt bleek in HR 15 april
jaarlijkse rapportage van het College voor de
ECLI:NL:RBSHE:2012:BW8633; Rb. Amster-
2013/14, 1574.
2014 ECLI:NL:HR:2014:908 waarin de Hoge
Rechten van de Mens.
dam 31 mei 2011,
152. Stcrt. 2013, 17149.
Raad bepaalde dat de procedure ex artikel
140. G. Odinot, D. de Jong, J.B.J. van der
ECLI:NL:RBAMS:2011:BQ9049. Zie verder:
153. Regeling sluiting luchtruim boven Den
552a Sv niet openstond voor beklag tegen
Leij, C.J. de Poot & E.K. van Straalen, Het
ECLI:NL:RBSHE:2012:BW8610,
Haag en kasteel Drakensteijn, Regeling slui-
een bevel zoals bedoeld in artikel 54a Sr.
gebruik van de telefoon- en internettap in
ECLI:NL:RBSHE:2012:BW8620,
ting luchtruim Scheveningen en Regeling
132. Kamerstukken II 1998/99, 26671, 3, p.
de opsporing, Boom Lemma Uitgevers,
ECLI:NL:RBSHE:2012:BW8629,
sluiting luchtruim nationale herdenkingen.
26.
2012, p. 152.
ECLI:NL:RBAMS:2011:BP7233.
154. Aanwijzing handhaving Telecommuni-
133. Zie voor kritiek op het voorstel en
141. G. Odinot, D. de Jong, J.B.J. van der
144. Hoge Raad 1 juli 2014,
catiewet (2014A003).
mogelijke strijd met het nemo tenetur begin-
Leij, C.J. de Poot & E.K. van Straalen, Het
ECLI:NL:HR:2014:1562 (IMSI); Hoge Raad 1
155. ‘Viewing or sharing beheading video
sel: Advies van de Raad voor Rechtspraak
gebruik van de telefoon- en internettap in
juli 2014, ECLI:NL:HR:2014:1569 en Hoge
could be a criminal offence police warn’, The
d.d. 4 juli 2013 over het wetsvoorstel Com-
de opsporing, Boom Lemma Uitgevers,
Raad 1 juli 2014, ECLI:NL:HR:2014:1563
Telegraph 20 augustus 2014.
putercriminaliteit III, gepubliceerd op www.
2012, p. 155-167.
(stealth).
156. ‘Police warn sharing James Foley killing
rechtspraak.nl onder nr. 2013/27.
142. Artikel 126nb Sv regelt weliswaar de
145. Aanhangsel handelingen II 2013/14,
video is a crime’, The Guardian 20 augustus
134. Brief College Bescherming Persoonsge-
inzet van de IMSI-catcher, maar alleen voor
1906.
2014.
gevens aan de Minister van Veiligheid en
zover hiermee het telefoonnummer van een
146. ‘OM zette keylogger in bij Todd-zaak’,
157. Kamerstukken II 2013/14, 29754, 255.
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35
2539
Technologie en recht
latieve vereisten voor een geautomatiseerd werk. Een oordeel dat de Hoge Raad weliswaar deelde, maar desondanks casseerde omdat ook een geheel netwerk (dus computer(s) en of router(s) samen) aangemerkt kunnen worden als ‘geautomatiseerd werk’.158 Veelbesproken was de aanval op Spamhaus dat slachtoffer werd van wat in de media ‘de grootste cyberaanval ooit’ werd genoemd.159 Geruime tijd waren delen van het internet niet of lastiger te bereiken. In april 2013 werd in Spanje een Nederlander aangehouden als hoofdverdachte, dit naar aanleiding van een Europees aanhoudingsbevel van het Nederlandse Openbaar Ministerie. Een andere relevante zaak was de veroordeling van een negentienjarige jongen voor het hacken van 2000 computers.160 Hij gebruikte o.a. een computer van een derde voor het bekendmaken van het VWO-eindexamen Frans 2013, dat nog moest worden afgenomen. Mede hierdoor kwam de diefstal van eindexamens bij de Ibn Ghaldounschool aan het licht. Dat Russen (zie de uitspraak van Troels in par. 6.1) niet altijd de dans ontspringen bleek uit de uitspraak van de rechtbank die de uitlevering toestond van Vladimir Drinkman aan zowel de Verenigde Staten, als Rusland.161 Drinkman werd verdacht van het deel uitmaken van een groep van vijf hackers die 160 miljoen creditcardgegevens zou hebben buitgemaakt waarmee meer dan 300 miljoen dollar zou zijn gestolen. De minister mag nu bepalen waar deze verdachte als eerste wordt berecht.
GPS (Geïntegreerd Processysteem Strafrecht). Toch gaat de ontwikkeling traag. GPS kreeg in deze kroniekperiode bijvoorbeeld de nodige kritiek te verduren; de kosten van de ontwikkeling en invoering zouden veel hoger zijn uitgevallen dan vooraf begroot en de doelstellingen werden niet gehaald.166 Om die reden wordt nog veelvuldig COMPAS gebruikt, software die stamt uit 1988 en draait op MS DOS.167 Je zou er bijna nostalgisch van worden.
6.6 Digitalisering binnen rechterlijke macht en OM In de rechtspraak wordt tegenwoordig niet alleen geoordeeld over digitale (strafbare) feiten, de digitale wereld bereikt nu langzaam ook de zittende en staande magistratuur zelf. Zo werd in september 2013 het Slachtoffer Informatie Portaal geopend162 en startte het OM begin 2014 het Digitaal Loket Verkeer.163 Ook kunnen burgers sinds dit jaar online een rechtszaak starten bij de eKantonrechter.164 Videorechtspraak, waarbij sprake is van een videoverbinding tussen de zittingszaal en de locatie van de verdachte, is ook in opkomst.165 Sinds september dit jaar is een start gemaakt met de Advocatenportaal waarop strafrechtadvocaten digitaal dossiers kunnen downloaden afkomstig uit
goed ook, en doen we er verstandig aan nieuwe technieken eerst een decennium of wat hun gang te laten gaan voordat we ze in wetgeving proberen te vangen. Daarmee wil hij niet zeggen dat (aanbieders van) nieuwe technieken ondertussen ongestoord hun gang mogen gaan, maar dat de eerste jaren altijd – ook in juridisch opzicht – rommelig verlopen. Wat dat betreft verloopt de juridische receptie van de voortwoekerende informatierevolutie geheel volgens plan. Dat rommelige proces moeten we vrolijk zijn gang laten gaan, ook als de gevestigde orde vraagt om beteugeling van vernieuwing die het vertrouwde evenwicht verstoort en comfortabele business-modellen bedreigt.
7. Afsluiting De hier voorgaande verkenning illustreert de veelzijdige en gevarieerde interactie tussen technologische innovatie en recht. Nieuwe technieken doen per definitie hun intrede voordat het recht heeft bedacht hoe ze te kwalificeren en (eventueel) reguleren. Volgens James Boyle is dat maar
Ook deze kroniekperiode staat Nederland weer in de top van de wereldwijde telefoontapstatistieken
158. HR 26 maart 2013,
ECLI:NL:RBROT:2014:7371 en
www.om.nl.
166. ‘Voorganger problematisch justitiesys-
ECLI:NL:HR:2013:BY9718.
ECLI:NL:RBROT:2014:7370, alsmede HR 26
164. ‘Nu ook online rechtspraak voor bur-
teem GPS draait nog’, Binnenlands Bestuur
159. Daarop was ook de nodige kritiek, zie:
augustus 2014, ECLI:NL:HR:2014:2458.
gers bij de eKantonrechter’, de Rechtspraak,
27 juni 2013, www.binnenlandsbestuur.nl.
‘Nederlander coördineert “grootste
162. ‘Uitbreiding slachtofferzorg OM met
3 juni 2014, www.rechtspraak.nl.
167. P. Langbroek & M. Tjaden, ‘ICT in de
cyberaanval ooit” NOT’, NOS.
online informatieportaal’, Openbaar Ministe-
165. ‘De rechtspraak start als eerste recht-
strafrechtketen, de ontwikkeling en imple-
160. Rb. Rotterdam 4 september 2014,
rie, 4 september 2013, www.om.nl.
bank met videorechtspraak vanuit gemeen-
mentatie van nieuwe systemen bij het Open-
ECLI:NL:RBROT:2014:7379.
163. ‘Digitaal in beroep tegen verkeersboe-
tehuis’, de Rechtspraak 7 mei 2014, www.
baar Ministerie’, Proces 2008/1, p. 2-8; en:
161. Rb. Rotterdam 16 april 2014,
tes’, Openbaar Ministerie 27 januari 2014,
rechtspraak.nl.
Handelingen II 2013/14, 109, item 6, p. 4.
2540
NEDERLANDS JURISTENBLAD – 17-10-2014 – AFL. 35